ntc-iso-31000-2011 gestión del riesgo
TRANSCRIPT
-
NTC-ISO
31000
2011-02-16
GESTIN DEL RIESGO.PRINCIPIOS Y DIRECTRICES
E: RISK MANAGEMENT. PRINCIPLES AND GUIDELINES
CORRESPONDENCIA: esta norma es una adopcin idntica(IDT) por traduccin de la normaISO 31000:2009.
gestin; riesgo; incertidumbre.DESCRIPTORES:
I.C.S.: 03.100.01
Editada por el Instituto Colombiano de Normas Tcnicas y Certificacin (ICONTEC)Apartado 14237 Bogot, D.C. - Tel. (571) 6078888 - Fax (571) 2221435
Prohibida su reproduccin Editada 2011-02-22
-
PRLOGO
El Instituto Colombiano de Normas Tcnicas y Certificacin, ICONTEC, es el organismonacional de normalizacin, segn el Decreto 2269 de 1993.
ICONTEC es una entidad de carcter privado, sin nimo de lucro, cuya Misin es fundamentalpara brindar soporte y desarrollo al productor y proteccin al consumidor. Colabora con elsector gubernamental y apoya al sector privado del pas, para lograr ventajas competitivas enlos mercados interno y externo.
La representacin de todos los sectores involucrados en el proceso de Normalizacin Tcnicaest garantizada por los Comits Tcnicos y el perodo de Consulta Pblica, este ltimocaracterizado por la participacin del pblico en general.
La norma NTC-ISO 31000 fue ratificada por el Consejo Directivo de 2011-02-16.
Esta norma est sujeta a ser actualizada permanentemente con el objeto de que responda entodo momento a las necesidades y exigencias actuales.
A continuacin se relacionan las empresas que colaboraron en el estudio de esta norma atravs de su participacin en el Comit Tcnico 32 Gestin del riesgo.
AON COLOMBIAASEGURADORES TCNICOS LTDA.BANCO AGRARIO DE COLOMBIACOMPAA NACIONAL DE CHOCOLATES S.A.CONCONCRETO S.A.CREDIBANCO VISADELIMA MARSH S.A.DIRECCINDEPREVENCINYATENCIN DE EMERGENCIAS -DPAE-ECOPETROL S.A.EMPRESA DE ACUEDUCTO DE BOGOT
ERNEST & YOUNG COLOMBIAGIT LTDA.INDUSTRIAS SPRING S.A.ITEAMMINISTERIO DE MEDIO AMBIENTE YDESARROLLO TERRITORIALREDEBAN MULTICOLORSEGURIDAD ATLASSIKA COLOMBIA.TECNICONTROL S.A.
Adems de las anteriores, en Consulta Pblica el Proyecto se puso a consideracin de lassiguientes empresas:
ADAMS CADBURYAEROVAS DEL CONTINENTE AMERICANOS.A. -AVIANCA S.A.-AJOVER S.A.ALICO COLOMBIA SEGUROS DE VIDA S.A.ARP SEGUROS BOLVARASETRANS LTDA.ASOCIACION COLOMBIANA DECONTINUIDAD DEL NEGOCIOATESA S.A. E.S.P.CAJA DE COMPENSACIN FAMILIAR DEFENALCO - SECCIONAL QUINDO
CAJAS Y SUPLEMENTOSCMARA DE COMERCIO DE BOGOTCENTRO COMERCIAL CHIPICHAPECHAIN VARGASCHALLENGER S.A.CJE SUPPLIES LTDA.COLCHONES NUEVO MILENIOCOMPAA AGRCOLA DE SEGUROS DEVIDA S.A.COMPAA DE SEGUROS BOLVAR S.A.COMPAA MUNDIAL DE SEGUROS S.A.COMPUCABLES NUGER LTDA.
-
CONCALIDAD LTDA.
COOPERATIVA DE LOS TRABAJADORES
DEL INSTITUTO DE SEGUROS SOCIALES
CRUZ ROJA SECCIONAL CUNDINAMARCA
Y BOGOT
DECEVAL S.A.
DELOITTE COLOMBIA
EMPRESA IBAGUEREA DE ACUEDUCTO
Y ALCANTARILLADO
EMPRESAS PBLICAS DE MEDELLN E.S.P.
ENCLAN S.A.
ENLACE OPERATIVO S.A.
ESCUELA COLOMBIANA DE INGENIERA
FENALCO
FIDUCOLOMBIA S.A. SOCIEDAD FIDUCIARIA
S.A.
FUNDACIN UNIVERSITARIA AGRARIA DE
COLOMBIA -ESPECIALIZACIN EN SISTEMAS
DE GESTIN DE LA CALIDAD-
GESCOP LTDA.
GESTIN & ESTRATEGIA S.A.S.
GRUPO ATLAS DE SEGURIDAD INTEGRAL
HOSPITAL SANTA MARGARITA E.S.E.
ILURAM S.A.
INDUSTRIA FARMACUTICA SYNTOFARMA S.A.
INFOCOMUNICACIONES LTDA.
JARDINE LLOYD THOMPSON VALENCIA &
IRAGORRI CORREDORES DE SEGUROS S.A.
JM INGENIERA LTDA.
KPMG
LA PREVISORA S.A. COMPAA DE
SEGUROS
LINALCA S.A.
MAPFRE SEGUROS GENERALES DE
COLOMBIA S.A.
MATPEL DE COLOMBIA S.A.
MAUDT
ORGANISMO NACIONAL DEACREDITACIN DE COLOMBIAORGANIZACIN TERPELOVERSIGHT S.A.S. RISK CONSULTING &RISK MANAGEMENT SERVICESPARQUES Y FUNERARIA S.A. JARDINESDEL RECUERDOPREZ Y VILLA S.A.PETROTESTING COLOMBIA S.A.POLIPROPILENO DEL CARIBE S.A.POSITIVA COMPAA DE SEGUROS S.A.PROCESS CONSULTANTS, INC.SUCURSAL COLOMBIA -PCIB-PRODUCTORES DE SEGUROS DEANTIOQUIA ANPROSEGUROSCORREDORES DE SEGUROS S.A.PROFESIONALES EN DEPORTE -PRODEPORTLTDA.-PROTECCINPROTEGIENDO BFR S.A.REDES HUMANAS S.A.SEGUROS BOLVARSEGUROS DE VIDA ALFA S.A.SEGUROS DE VIDA COLPATRIA S.A.SERFUNORTESERVICIO OCCIDENTAL DE SALUD S.A.SETELCOM LTDA.SIS S.A. SERVICIOS INTEGRALES DESEGUROS Y SEGURIDAD SOCIALSURATEPSURTIDORA DE GAS DEL CARIBE S.A. E.S.P.TEAM FOODS COLOMBIA S.A.TECFIN INTERNATIONAL S.A.TECSEGUROS S.A. CORREDORES DESEGUROSTERPELTOTAL SEGUROS CA. ASESORES DESEGUROS LTDA.TRANSPORTADORA DE VALORES ATLASUNIVERSIDAD SANTIAGO DE CALIVICEPRESIDENCIADERIESGOSLABORALES DEL INSTITUTO DE SEGUROSSOCIALES NIVEL NACIONAL BOGOT D.C.WILLIS COLOMBIA CORREDORES DESEGUROS S.A.
ICONTEC cuenta con un Centro de Informacin que pone a disposicin de los interesadosnormas internacionales, regionales y nacionales y otros documentos relacionados.
DIRECCIN DE NORMALIZACIN
-
NTC-ISO 31000
CONTENIDO
Pgina
INTRODUCCIN......................................................................................................................1
1 OBJETO .......................................................................................................................3
2 TRMINOS Y DEFINICIONES .....................................................................................4
3. PRINCIPIOS .................................................................................................................9
4.
4.1
4.2
4.3
4.4
4.5
4.6
MARCO DE REFERENCIA ........................................................................................11
GENERALIDADES .....................................................................................................11
DIRECCIN Y COMPROMISO ..................................................................................12
DISEO DEL MARCO DE REFERENCIA PARA LA GESTIN DEL RIESGO ........12
IMPLEMENTAR LA GESTIN DEL RIESGO............................................................15
MONITOREAR Y REVISAR EL MARCO DE REFERENCIA.....................................16
MEJORA CONTINUA DEL MARCO DE REFERENCIA............................................16
5.
5.1
5.2
5.3
5.4
5.5
5.6
5.7
PROCESO ..................................................................................................................16
GENERALIDADES .....................................................................................................16
COMUNICACIN Y CONSULTA ...............................................................................17
ESTABLECIMIENTO DEL CONTEXTO.....................................................................18
VALORACIN DEL RIESGO.....................................................................................21
TRATAMIENTO DEL RIESGO...................................................................................22
MONITOREO Y REVISIN ........................................................................................24
REGISTRO DEL PROCESO PARA LA GESTIN DEL RIESGO .............................25
-
NTC-ISO 31000
Pgina
BIBLIOGRAFA......................................................................................................................28
DOCUMENTO DE REFERENCIA..........................................................................................29
ANEXO A (Informativo)ATRIBUTOS DE LA GESTIN MEJORADA DEL RIESGO .................................................26
FIGURAS
Figura 1. Relaciones entre los principios, el marco de referenciay los procesos para la gestin del riesgo ............................................................................3
Figura 2. Relacin entre los componentes del marco de referenciapara la gestin del riesgo ....................................................................................................11
Figura 3. Proceso para la gestin del riesgo .....................................................................17
-
NTC-ISO 31000
GESTIN DEL RIESGO.PRINCIPIOS Y DIRECTRICES
INTRODUCCIN
Las organizaciones de todo tipo y tamao enfrentan factores e influencias, internas y externas,que crean incertidumbre sobre si ellas lograrn o no sus objetivos. El efecto que estaincertidumbre tiene en los objetivos de una organizacin es el "riesgo".
Todas las actividades de una organizacin implican riesgo. Las organizaciones gestionan elriesgo mediante su identificacin y anlisis y luego evaluando si el riesgo se debera modificarpor medio del tratamiento del riesgo con el fin de satisfacer los criterios del riesgo. A travs deeste proceso, las organizaciones se comunican y consultan con las partes involucradas,monitorean y revisan el riesgo y los controles que lo estn modificando con el fin de garantizarque no se requiere tratamiento adicional del riesgo. Esta norma describe este procesosistemtico y lgico en detalle.
Aunque todas las organizaciones gestionan el riesgo en algn grado, esta norma establece unnmero de principios que es necesario satisfacer para hacer que la gestin del riesgo seaeficaz. Esta norma recomienda que las organizaciones desarrollen, implementen y mejorencontinuamente un marco de referencia cuyo propsito sea integrar el proceso para la gestindel riesgo en los procesos globales de gobierno, estrategia y planificacin, gestin, procesos depresentacin de informes, polticas, valores y cultura de la organizacin.
La gestin del riesgo se puede aplicar a toda la organizacin, en todas sus muchas reas yniveles, en cualquier momento, as como a funciones, proyectos y actividades especficos.
Aunque la prctica de la gestin del riesgo se ha desarrollado con el paso del tiempo y enmuchos sectores para satisfacer diversas necesidades, la adopcin de procesos consistentesdentro de un marco de referencia exhaustivo puede ayudar a garantizar que el riesgo segestiona eficaz, eficiente y coherentemente en toda la organizacin. El enfoque genrico quese describe en esta norma suministra los principios y las directrices para la gestin de cualquierforma de riesgo en una manera sistemtica, transparente y creble, y en cualquier alcance ycontexto.
Cada sector especfico o cada aplicacin de la gestin del riesgo traen consigo necesidades,audiencias, percepciones y criterios individuales. Por lo tanto, una caracterstica clave de estanorma es la inclusin del "establecimiento del contexto" como una actividad al inicio de esteproceso genrico para la gestin del riesgo. Al establecer el contexto se capturaran losobjetivos de la organizacin, el entorno en el cual ella persigue sus objetivos, sus partesinvolucradas y la diversidad de criterios de riesgo; todo en conjunto ayudar a revelar y evaluarla naturaleza y la complejidad de sus riesgos.
1 de 29
-
NTC-ISO 31000
La relacin entre los principios para la gestin del riesgo, el marco de referencia en el cual stasucede y los procesos de gestin del riesgo descritos aqu se ilustra en la Figura 1.
Cuando la gestin del riesgo se implementa y se mantiene de acuerdo con esta norma, dichagestin le permite a la organizacin, entre otros:
-
-
-
-
aumentar la probabilidad de alcanzar los objetivos;
fomentar la gestin proactiva;
ser consciente de la necesidad de identificar y tratar los riesgos en toda la organizacin;
cumplir con los requisitos legales y reglamentarios pertinentes y con las normasinternacionales;
mejorar la presentacin de informes obligatorios y voluntarios;
mejorar el gobierno;
mejorar la confianza y honestidad de las partes involucradas,
establecer una base confiable para la toma de decisiones y la planificacin;
mejorar los controles;
asignar y usar eficazmente los recursos para el tratamiento del riesgo;
mejorar la eficacia y la eficiencia operativa;
incrementar el desempeo de la salud y la seguridad, as como la proteccin ambiental;
mejorar la prevencin de prdidas y la gestin de incidentes;
minimizar las prdidas;
mejorar el aprendizaje organizacional; y
mejorar la flexibilidad organizacional.
-
-
-
-
-
-
-
-
-
-
-
-
Esta norma est destinada a satisfacer las necesidades de un rango amplio de partesinvolucradas, incluyendo:
a) aquellos responsables del desarrollo de la poltica de gestin del riesgo dentro de laorganizacin;
aquellos responsables de garantizar que el riesgo se gestiona eficazmente dentro de laorganizacin como unidad o dentro de un rea, proyecto o actividad especficos;
aquellos que necesitan evaluar la eficacia de una organizacin en cuanto a la gestindel riesgo; y
aquellos que desarrollan normas, guas, procedimientos y cdigos de prctica que,parcial o totalmente, establecen la manera de gestionar el riesgo dentro del contextoespecfico de estos documentos.
2
b)
c)
d)
-
NTC-ISO 31000
En muchas organizaciones las prcticas y procesos actuales para la gestin incluyencomponentes de la gestin del riesgo y muchas organizaciones ya han adoptado un procesoformal para la gestin del riesgo para tipos particulares de riesgos o circunstancias. En talescasos, una organizacin puede decidir realizar una revisin crtica de sus prcticas y procesosexistentes a la luz de esta norma.
En esta norma, se usan las expresiones "gestin del riesgo" y "gestionar el riesgo". En trminosgenerales, la "gestin del riesgo" se refiere a la arquitectura (principios, marco y procesos) parala gestin eficaz del riesgo, mientras que "gestionar el riesgo" se refiere a la aplicacin de esaarquitectura a riesgos particulares.
a) Crear valor
b) Es parte integral de losprocesos de la organizacin
c) Es parte de la toma dedecisiones
d) Aborda explcitamnete laincertidumbre
e) Es sistemtica, estructuraday oportuna
f) Se basa en la mejorinformacin disponible
g) Est adaptado
h) Toma en consideracin a losfactores humanos y culturales
i) Es tranasparente e in clusiva
j) Es dinmica, reiterativa yreceptiva al cambio
k) Facilita la mejora y realzaa la organizacin
Principios(numeral 3)
Marco de referencia (numeral 4)
Proceso(numeral 5)
Mejora continua del marco de referencia (4.6)
Implementacin de la gestin del riesgo (4.4)
Comando ycompromiso (4.2)
Establecimiento del contexto (5.3)
Valoracin del riesgo (5.4)
Comunicacin y consulta (5.2)
Identificacin del riesgo (5.4.2)Monitoreo y revisin (5.6)
Diseo del marco de referencia parala gestin del riesgo (4.3)
Anlisis del riesgo (5.4.3)
Evaluacin del riesgo (5.4.4)
Monitoreo y revisin del marco (4.3) Tratamiento del riesgo (5.5)
Figura 1. Relaciones entre los principios, el marco de referencia y los procesos para la gestin del riesgo
1. OBJETO
Esta norma brinda los principios y las directrices genricas sobre la gestin del riesgo.
Esta norma puede ser utilizada por cualquier empresa pblica, privada o comunitaria,asociacin, grupo o individuo. Por lo tanto, no es especfica para ninguna industria o sector.
NOTAPara propsitos de conveniencia, se hace referencia a todos los diversos usuarios de esta norma con eltrmino general de "organizacin".
Esta norma se puede aplicar durante toda la duracin de una organizacin y a un amplio rangode actividades, incluyendo estrategias y decisiones, operaciones, procesos, funciones,proyectos, productos, servicios y activos.
Esta norma se puede aplicar a cualquier tipo de riesgo, cualquiera sea su naturaleza, bien seaque tenga consecuencias positivas o negativas.
3
-
NTC-ISO 31000
Aunque esta norma suministra directrices genricas, no se pretende promover la uniformidadde la gestin del riesgo en todas las organizaciones. Ser necesario que el diseo y laimplementacin de planes y marcos de referencia para la gestin del riesgo tomen enconsideracin las diversas necesidades de una organizacin especfica, sus objetivosparticulares, contexto, estructura, operaciones, procesos, funciones, proyectos, productos,servicios o activos, y las prcticas especficas empleadas.
Se pretende que esta norma sea utilizada para armonizar los procesos de la gestin del riesgoen las normas existentes y futuras. Suministra un enfoque comn en apoyo de las normas quetratan con riesgos, sectores especficos, o ambos, y no reemplaza a tales normas.
Esta norma no est destinada para fines de certificacin.
2 TRMINOS Y DEFINICIONES
Para los fines de este documento, se aplican los siguientes trminos y definiciones:
2.1 Riesgo. Efecto de la incertidumbre sobre los objetivos.
NOTA 1 Un efecto es una desviacin de aquello que se espera, sea positivo, negativo o ambos.
NOTA 2 Los objetivos pueden tener aspectos diferentes (por ejemplo financieros, salud y seguridad, y metasambientales) y se pueden aplicar en niveles diferentes (estratgico, en toda la organizacin, en proyectos, productosy procesos).
NOTA 3 A menudo el riesgo est caracterizado por la referencia a los eventos (vase el numeral 2.17) potencialesy las consecuencias (vase el numeral 2.18) o a una combinacin de ellos.
NOTA 4 Con frecuencia, el riesgo se expresa en trminos de una combinacin de las consecuencias de un evento(incluyendo los cambios en las circunstancias) y en la probabilidad (Likelihood) (vase el numeral 2.19) de quesuceda.
NOTA 5 Incertidumbre es el estado, incluso parcial, de deficiencia de informacin relacionada con la comprensino el conocimiento de un evento, su consecuencia o probabilidad.
GTC 137 (ISO Gua 73:2009, definicin 1.1).
2.2 Gestin del riesgo. Actividades coordinadas para dirigir y controlar una organizacin conrespecto al riesgo (vase el numeral 2.1).
GTC 137 (ISO Gua 73:2009, definicin 2.1).
2.3 Marco de referencia para la gestin del riesgo. Conjunto de componentes que brindanlas bases y las disposiciones de la organizacin para disear, implementar, monitorear (vaseel numeral 2.28), revisar y mejorar continuamente la gestin del riesgo (vase el numeral 2.2)a travs de toda la organizacin.
NOTA 1 Las bases incluyen la poltica, los objetivos, el comando y el compromiso para gestionar el riesgo (vaseel numeral 2.1).
NOTA 2 Las disposiciones de la organizacin incluyen planes, relaciones, rendicin de cuentas (Accountability),recursos, procesos y actividades.
NOTA 3 El marco de referencia para la gestin del riesgo est incluido en las polticas y prcticas estratgicas yoperacionales globales de la organizacin.
GTC 137 (ISO Gua 73:2009, definicin 2.1.1).
4
-
NTC-ISO 31000
2.4 Poltica para la gestin del riesgo. Declaracin de la direccin y las intenciones generalesde una organizacin con respecto a la gestin del riesgo (vase el numeral 2.2).
GTC 137 (ISO Gua 73:2009, definicin 2.1.2).
2.5 Actitud hacia el riesgo. Enfoque de la organizacin para evaluar y eventualmente buscar,retener, tomar o alejarse del riesgo (vase el numeral 2.1).
GTC 137 (ISO Gua 73:2009, definicin 3.7.1.1).
2.6 Plan para la gestin del riesgo. Esquema dentro del marco de referencia para lagestin del riesgo (vase el numeral 2.3) que especifica el enfoque, los componentes y losrecursos de la gestin que se van a aplicar a la gestin del riesgo (vase el numeral 2.1).
NOTA 1 Los componentes de la gestin comnmente incluyen procedimientos, prcticas, asignacin deresponsabilidades, secuencia y oportunidad de las actividades.
NOTA 2 El plan para la gestin del riesgo se puede aplicar a productos, procesos y proyectos particulares, y aparte de la organizacin o su totalidad.
GTC 137 (ISO Gua 73:2009, definicin 2.1.3).
2.7 Propietario del riesgo. Persona o entidad con la responsabilidad de rendir cuentas y laautoridad para gestionar un riesgo (vase el numeral 2.1).
GTC 137 (ISO Gua 73:2009, definicin 3.5.1.5).
2.8 Proceso para la gestin del riesgo. Aplicacin sistemtica de las polticas, losprocedimientos y las prcticas de gestin a las actividades de comunicacin, consulta,establecimiento del contexto, y de identificacin, anlisis, evaluacin, tratamiento, monitoreo(vase el numeral 2.28) y revisin del riesgo (vase el numeral 2.1).
GTC 137 (ISO Gua 73:2009, definicin 3.1).
2.9 Establecimiento del contexto. Definicin de los parmetros internos y externos que sehan de tomar en consideracin cuando se gestiona el riesgo, y establecimiento del alcance ylos criterios del riesgo (vase el numeral 2.22) para la poltica para la gestin del riesgo(vase el numeral 2.4).
GTC 137 (ISO Gua 73:2009, definicin 3.3.1).
2.10 Contexto externo. Ambiente externo en el cual la organizacin busca alcanzar susobjetivos.
NOTA
-
El contexto externo puede incluir:
el ambiente cultural, social, poltico, legal, reglamentario, financiero, tecnolgico, econmico, natural ycompetitivo, bien sea internacional, nacional, regional o local;
impulsores clave y tendencias que tienen impacto en los objetivos de la organizacin; y
relaciones con las partes involucradas (vase el numeral 2.13) y sus percepciones y valores.
-
-
GTC 137 (ISO Gua 73:2009, definicin 3.3.1.1).
5
-
NTC-ISO 31000
2.11 Contexto interno. Ambiente interno en el cual la organizacin busca alcanzar susobjetivos.
NOTA
-
-
-
El contexto interno puede incluir:
gobierno, estructura organizacional, funciones y responsabilidades;
polticas, objetivos y estrategias implementadas para lograrlos;
las capacidades, entendidas en trminos de recursos y conocimiento (por ejemplo capital, tiempo,personas, procesos, sistemas y tecnologas);
sistemas de informacin, flujos de informacin y procesos para la toma de decisiones (tanto formales comoinformales);
relaciones con las partes involucradas internas y sus percepciones y valores;
la cultura de la organizacin;
normas, directrices y modelos adoptados por la organizacin; y
forma y extensin de las relaciones contractuales.
-
-
-
-
-
GTC 137 (ISO Gua 73:2009, definicin 3.3.1.2).
2.12 Comunicacin y consulta. Procesos continuos y reiterativos que una organizacin llevaa cabo para suministrar, compartir u obtener informacin e involucrarse en un dilogo con laspartes involucradas (vase el numeral 2.13) con respecto a la gestin del riesgo (vase elnumeral 2.1).
NOTA 1 La informacin se puede relacionar con la existencia, la naturaleza, la forma, la probabilidad (Likelihood)(vase el numeral 2.19), el significado, la evaluacin, la aceptabilidad y el tratamiento de la gestin del riesgo.
NOTA 2 La consulta es un proceso de doble va de la comunicacin informada entre una organizacin y sus partesinvolucradas, acerca de algn tema, antes de tomar una decisin o determinar una direccin para dicho tema. Laconsulta es:
-
-
un proceso que tiene impacto en la decisin a travs de la influencia ms que del poder; y
una entrada para la toma de decisiones, no para la toma conjunta de decisiones.
GTC 137 (ISO Gua 73:2009, definicin 3.2.1).
2.13 Parte involucrada. Persona u organizacin que puede afectar, verse afectada opercibirse a s misma como afectada por una decisin o una actividad.
NOTA Una persona que toma decisiones puede ser una parte involucrada.
GTC 137 (ISO Gua 73:2009, definicin 3.2.1.1).
2.14 Valoracin del riesgo. Proceso global de identificacin del riesgo (vase el numeral 2.15),anlisis del riesgo (vase el numeral 2.21) y evaluacin del riesgo (vase el numeral 2.24).
GTC 137 (ISO Gua 73:2009, definicin 3.4.1)
2.15 Identificacin del riesgo. Proceso para encontrar, reconocer y describir el riesgo (vaseel numeral 2.1).
NOTA 1 La identificacin del riesgo implica la identificacin de las fuentes de riesgo (vase el numeral 2.16), loseventos (vase el numeral 2.17), sus causas y sus consecuencias (vase el numeral 2.18) potenciales.
6
-
NTC-ISO 31000
NOTA 2 La identificacin del riesgo puede involucrar datos histricos, anlisis tericos, opiniones informadas yexpertas, y las necesidades de las partes involucradas (vase el numeral 2.13).
GTC 137 (ISO Gua 73:2009, definicin 3.5.1).
2.16 Fuente de riesgo. Elemento que solo o en combinacin tiene el potencial intrnseco deoriginar un riesgo (vase el numeral 2.1).
NOTA Una fuente de riesgo puede ser tangible o intangible.
GTC 137 (ISO Gua 73:2009, definicin 3.5.1.2).
2.17 Evento. Presencia o cambio de un conjunto particular de circunstancias.
NOTA 1
NOTA 2
NOTA 3
Un evento puede ser una o ms ocurrencias y puede tener varias causas.
Un evento puede consistir en algo que no est sucediendo.
En ocasiones, se puede hacer referencia a un evento como un "incidente" o "accidente".
NOTA 4 Tambin se puede hacer referencia a un evento sin consecuencias (vase el numeral 2.18) como un"cuasi accidente", "incidente", "situacin de peligro" o "conato de accidente".
GTC 137 (ISO Gua 73:2009, definicin 3.5.1.3)
2.18 Consecuencia. Resultado de un evento (vase el numeral 2.17) que afecta a los objetivos.
NOTA 1
NOTA 2
NOTA 3
NOTA 4
Un evento puede originar un rango de consecuencias.
Una consecuencia puede ser cierta o incierta y puede tener efectos positivos o negativos en los objetivos.
Las consecuencias se pueden expresar cualitativa o cuantitativamente.
Las consecuencias iniciales pueden escalar a travs de efectos secundarios.
GTC 137 (ISO Gua 73:2009, definicin 3.6.1.3)
2.19 Probabilidad (Likelihood). Oportunidad de que algo suceda.
NOTA 1 En la terminologa de la gestin del riesgo, la palabra "probabilidad (Likelihood)" se utiliza para hacerreferencia a la oportunidad de que algo suceda, est o no definido, medido o determinado objetiva o subjetivamente,cualitativa o cuantitativamente, y descrito utilizando trminos generales o matemticos (como la probabilidadnumrica (Probability) o la frecuencia en un periodo de tiempo determinado).
NOTA 2 El trmino ingls "Likelihood (probabilidad)" no tiene un equivalente directo en algunos idiomas; en lugarde ello se utiliza el trmino equivalente de "Probability (probabilidad numrica Sin embargo en ingls "Probability"con frecuencia se interpreta ms estrechamente como un trmino matemtico. Por lo tanto, en la terminologa de lagestin del riesgo, "Likelihood" se usa con la intensin de que tenga la misma interpretacin amplia que el trmino"probabilidad" en muchos idiomas diferentes del ingls.
GTC 137 (ISO Gua 73:2009, definicin 3.6.1.1).
2.20 Perfil del riesgo. Descripcin de cualquier conjunto de riesgos (vase el numeral 2.1).
NOTAEl conjunto de riesgos puede contener aquellos que se relacionan con la organizacin en su totalidad, conparte de la organizacin o segn otra definicin.
GTC 137 (ISO Gua 73:2009, definicin 3.8.2.5).
7
-
NTC-ISO 31000
2.21 Anlisis del riesgo. Proceso para comprender la naturaleza del riesgo (vase elnumeral 2.1) y determinar el nivel de riesgo (vase el numeral 2.23).
NOTA 1 El anlisis del riesgo proporciona las bases para la evaluacin del riesgo (vase el numeral 2.24) y lasdecisiones sobre el tratamiento del riesgo (vase el numeral 2.25).
NOTA 2 El anlisis del riesgo incluye la estimacin del riesgo.
GTC 137 (ISO Gua 73:2009, definicin 3.6.1).
2.22 Criterios del riesgo. Trminos de referencia frente a los cuales se evala la importanciade un riesgo (vase el numeral 2.1).
NOTA 1 Los criterios del riesgo se basan en los objetivos y el contexto externo (vase el numeral 2.10) e interno(vase el numeral 2.11) de la organizacin.
NOTA 2 Los criterios del riesgo se pueden derivar de normas, leyes, polticas y otros requisitos.
GTC 137 (ISO Gua 73:2009, definicin 3.3.1.3).
2.23 Nivel de riesgo. Magnitud de un riesgo (vase el numeral 2.1) o de una combinacin deriesgos, expresada en trminos de la combinacin de las consecuencias (vase el numeral 2.18)y su probabilidad (vase el numeral 2.19).
GTC 137 (ISO Gua 73:2009, definicin 3.6.1.8).
2.24 Evaluacin del riesgo. Proceso de comparacin de los resultados del anlisis del riesgo(vase el numeral 2.21) con los criterios del riesgo (vase el numeral 2.22), para determinarsi el riesgo (vase el numeral 2.1), su magnitud o ambos son aceptables o tolerables.
NOTA La evaluacin del riesgo ayuda en la decisin acerca del tratamiento del riesgo (vase el numeral 2.25).
GTC 137 (ISO Gua 73:2009, definicin 3.7.1).
2.25 Tratamiento del riesgo. Proceso para modificar el riesgo (vase el numeral 2.1).
NOTA 1
-
-
-
-
-
-
-
El tratamiento del riesgo puede implicar:
evitar el riesgo decidiendo no iniciar o continuar la actividad que lo origin;
tomar o incrementar el riesgo con el fin de perseguir una oportunidad;
retirar la fuente del riesgo (vase el numeral 2.16);
cambiar la probabilidad (vase el numeral 2.19);
cambiar las consecuencias (vase el numeral 2.18);
compartir el riesgo con una o varias de las partes (incluyendo los contratos y la financiacin del riesgo); y
retener el riesgo a travs de la decisin informada.
NOTA 2 En ocasiones se hace referencia a los tratamientos del riesgo relacionados con consecuencias negativascomo "mitigacin del riesgo", "eliminacin del riesgo", "prevencin del riesgo" y "reduccin del riesgo".
NOTA 3 El tratamiento del riesgo puede crear riesgos nuevos o modificar los existentes.
GTC 137 (ISO Gua 73:2009, definicin 3.8.1).
8
-
2.26
NOTA 1
NOTA 2
NTC-ISO 31000
Control. Medida que modifica al riesgo (vase el numeral 2.1)
Los controles incluyen procesos, polticas, dispositivos, prcticas u otras acciones que modifican al riesgo.
Los controles no siempre pueden ejercer el efecto modificador previsto o asumido.
GTC 137 (ISO Gua 73:2009, definicin 3.8.1.1).
2.27 Riesgo residualRiesgo (vase el numeral 2.1) remanente despus del tratamiento del riesgo (vase elnumeral 2.25).
NOTA 1
NOTA 2
El riesgo residual puede contener un riesgo no identificado.
El riesgo residual tambin se conoce como "riesgo retenido".
GTC 137 (ISO Gua 73:2009, definicin 3.8.1.6).
2.28 Monitoreo. Verificacin, supervisin, observacin crtica o determinacin continua delestado con el fin de identificar cambios con respecto al nivel de desempeo exigido oesperado.
NOTAEl monitoreo se puede aplicar al marco de referencia para la gestin del riesgo (vase el numeral 2.3),al proceso para la gestin del riesgo (vase el numeral 2.8), al riesgo (vase el numeral 2.1) o al control (vaseel numeral 2.26).
GTC 137 (ISO Gua 73:2009, definicin 3.8.2.1).
2.29 Revisin. Accin que se emprende para determinar la idoneidad, conveniencia y eficaciade la materia en cuestin para lograr los objetivos establecidos.
NOTALa revisin se puede aplicar al marco de referencia para la gestin del riesgo (vase el numeral 2.3), alproceso para la gestin del riesgo (vase el numeral 2.8), al riesgo (vase el numeral 2.1) o al control (vase elnumeral 2.26).
GTC 137 (ISO Gua 73:2009, definicin 3.8.2.2)
3. PRINCIPIOS
Para que la gestin del riesgo sea eficaz, la organizacin debera cumplir con todos lossiguientes principios en todos los niveles:
a) La gestin del riesgo crea y protege el valor
La gestin del riesgo contribuye al logro demostrable de los objetivos y a la mejora deldesempeo en, por ejemplo, la salud y la seguridad humana, la conformidad legal yreglamentaria, la seguridad, la aceptacin pblica, la proteccin del ambiente, la calidaddel producto, la gestin de proyectos, la eficiencia en las operaciones, el gobierno y lareputacin.
b) La gestin del riesgo es una parte integral de todos los procesos de laorganizacin
La gestin del riesgo no es una actividad independiente que se separa de lasactividades y los procesos principales de la organizacin. La gestin del riesgo es parte
9
-
NTC-ISO 31000
de las responsabilidades de la direccin y una parte integral de todos los procesos de laorganizacin, incluyendo la planificacin estratgica y todos los procesos de gestin deproyectos y de cambio.
c) La gestin del riesgo es parte de la toma de decisiones
La gestin del riesgo ayuda a quienes toman las decisiones a hacer eleccionesinformadas, priorizar acciones y distinguir entre cursos de accin alternativos.
d) La gestin del riesgo aborda explcitamente la incertidumbre
La gestin del riesgo toma en consideracin explcitamente a la incertidumbre, sunaturaleza y la forma en que se puede tratar.
e) La gestin del riesgo es sistemtica, estructurada y oportuna
Un enfoque sistemtico, oportuno y estructurado para la gestin del riesgo contribuye ala eficiencia y a resultados consistentes, comparables y confiables.
f) La gestin del riesgo se basa en la mejor informacin disponible
Las entradas para el proceso de gestin del riesgo se basan en fuentes de informacintales como datos histricos, experiencia, retroalimentacin de las partes involucradas,observacin, previsiones y examen de expertos. Sin embargo, quienes toman lasdecisiones deberan informarse y tomar en consideracin todas las limitaciones de losdatos o de los modelos utilizados, o la posibilidad de divergencia entre los expertos.
g) La gestin del riesgo est adaptada
La gestin del riesgo se alinea del contexto externo e interno y del perfil de riesgo de laorganizacin.
h) La gestin del riesgo toma en consideracin los factores humanos y culturales
La gestin del riesgo reconoce las capacidades, percepciones e intenciones deindividuos externos e internos, los cuales pueden facilitar o dificultar el logro de losobjetivos de la organizacin.
i) La gestin del riesgo es transparente e inclusiva
La correcta y oportuna intervencin de las partes involucradas y, en particular, deaquellos que toman las decisiones en todos los niveles de la organizacin, garantizaque la gestin del riesgo siga siendo pertinente y se actualice. Esta intervencin tambinpermite a las partes involucradas estar correctamente representadas y hacer que suspuntos de vista se tomen en consideracin al determinar los criterios del riesgo.
j) La gestin del riesgo es dinmica, reiterativa y receptiva al cambio
La gestin del riesgo siente y responde continuamente al cambio. A medida que sepresentan los eventos externos e internos, el contexto y el conocimiento cambian, tienenlugar el monitoreo y la revisin de los riesgos, emergen riesgos nuevos, algunoscambian y otros desaparecen.
10
-
k)
NTC-ISO 31000
La gestin del riesgo facilita la mejora continua de la organizacin
Las organizaciones deberan desarrollar e implementar estrategias para mejorar lamadurez de su gestin de riesgos junto con todos los otros aspectos de suorganizacin.
El Anexo A suministra asesora adicional para las organizaciones que requieren gestionar elriesgo ms eficazmente.
4.
4.1
MARCO DE REFERENCIA
GENERALIDADES
El xito de la gestin del riesgo depender de la eficacia del marco de referencia para lagestin, el cual brinda las bases y las disposiciones que se introducirn en todos los niveles dela organizacin. El marco ayuda a la gestin eficaz del riesgo a travs de la aplicacin delproceso para la gestin del riesgo (vase el numeral 5) en los diversos niveles y en contextosespecficos de la organizacin. El marco garantiza que la informacin acerca del riesgoderivada del proceso para la gestin del riesgo se reporte de manera adecuada y se utilicecomo base para la toma de decisiones y la rendicin de cuentas en todos los nivelespertinentes de la organizacin.
Este numeral describe los componentes necesarios del marco para gestionar el riesgo y laforma en que ellos se interrelacionan de manera reiterativa, tal como se ilustra en la Figura 2.
Direccin y compromiso (4.2)
Diseo del marco de referencia para la gestin del riesgo (4.3)
Entender a la organizacin y su contexto (4.3.1)Establecer la poltica para la gestin del riesgo (4.3.2)Rendicin de cuentas (4.3.3)Integracin de los procesos de la organizacin (4.3.4)Recursos (4.3.5)Establecer mecanismos para la comunicacin internay la presentacin de informes (4.3.6)Establecer mecanismos para la comunicacin externay la presentacin de informes (4.3.7)
Implementar la gestin del riesgo (4.4)
Mejora continua del marco de referencia (4.6)
Implementar la aplicacin del marcopara la gestin del riesgo (4.4.1)Implementar el proceso para lagestin del riesgo (4.4.2)
Monitorear y revisar el marco de referencia (4.5)
Figura 2. Relacin entre los componentes del marco de referencia para la gestin del riesgo
11
-
NTC-ISO 31000
Este marco de referencia no tiene como finalidad prescribir un sistema de gestin sino facilitar ala organizacin la integracin de la gestin del riesgo en su sistema de gestin global. Por lotanto, las organizaciones deberan adaptar los componentes del marco a sus necesidadesespecficas.
Si las prcticas y procesos de gestin existentes de la organizacin incluyen componentes dela gestin del riesgo, o si la organizacin ya ha adoptado un proceso formal para la gestin delriesgo para tipos particulares de riesgos o situaciones, entonces stos se deberan revisar yvalorar de forma crtica frente a esta norma, incluyendo los atributos del Anexo A, con el fin dedeterminar su eficacia y conveniencia.
4.2 DIRECCIN Y COMPROMISO
La introduccin de la gestin del riesgo, y garantizar su eficacia continua, requiere de uncompromiso fuerte y sostenido por parte de la direccin de la organizacin, as como deplanificacin estratgica y rigurosa para lograr el compromiso a todo nivel. La direccin debera:
-
-
definir y aprobar la poltica para la gestin del riesgo;
garantizar que la cultura de la organizacin y la poltica para la gestin del riesgo estnalineadas;
determinar indicadores del desempeo de la gestin para el riesgo que estn acordescon los indicadores del desempeo de la organizacin;
alinear los objetivos de la gestin del riesgo con los objetivos y las estrategias de laorganizacin;
garantizar la conformidad legal y reglamentaria;
asignar obligaciones y responsabilidades en los niveles respectivos dentro de laorganizacin;
garantizar que se asignan los recursos necesarios para la gestin del riesgo;
comunicar los beneficios de la gestin del riesgo a todas las partes involucradas; y
garantizar que el marco de referencia para gestionar el riesgo sigue siendo adecuado.
DISEO DEL MARCO DE REFERENCIA PARA LA GESTIN DEL RIESGO
Entender a la organizacin y su contexto
-
-
-
-
-
-
-
4.3
4.3.1
Antes de empezar el diseo y la implementacin del marco de referencia para la gestin delriesgo, es importante evaluar y entender el contexto, tanto externo como interno de laorganizacin, dado que ste puede tener influencia significativa en el diseo de dicho marco.
La evaluacin del contexto externo de la organizacin puede incluir, entre otros:
a) el ambiente social y cultural, poltico, legal, reglamentario, financiero, tecnolgico,econmico, natural y competitivo, bien sea internacional, nacional, regional o local;
impulsores clave y tendencias que tienen impacto en los objetivos de la organizacin; y
12
b)
-
c)
NTC-ISO 31000
las relaciones con las partes involucradas externas, y sus percepciones y valores.
La evaluacin del contexto interno de la organizacin puede incluir, entre otros:
-
-
-
gobierno, estructura organizacional, funciones y obligaciones;
polticas, objetivos y estrategias que se han implementado para lograrlos;
capacidades, entendidas en trminos de recursos y conocimiento (por ejemplo capital,tiempo, personas, procesos, sistemas y tecnologas);
sistemas de informacin, flujos de informacin y procesos de toma de decisiones (tantoformales como informales);
relaciones con las partes involucradas internas y sus percepciones y valores;
la cultura de la organizacin;
normas, directrices y modelos adoptados por la organizacin; y
forma y extensin de las relaciones contractuales.
Establecer la poltica para la gestin del riesgo
-
-
-
-
-
4.3.2
La poltica para la gestin del riesgo debera establecer claramente los objetivos de laorganizacin para la gestin del riesgo y su compromiso con ella, y comnmente deberaabordar los siguientes aspectos:
-
-
la justificacin de la organizacin para gestionar el riesgo;
los vnculos entre los objetivos y las polticas de la organizacin y la poltica para lagestin del riesgo;
las obligaciones y responsabilidades para gestionar el riesgo;
la forma de tratar los conflictos de intereses;
el compromiso para poner a disposicin los recursos necesarios con el fin de ayudar alos responsables de la gestin del riesgo y de rendir cuentas con respecto a sta;
la forma en la cual se va a medir y a reportar el desempeo de la gestin del riesgo; y
el compromiso para revisar y mejorar peridicamente la poltica y el marco de la gestindel riesgo y en respuesta a un evento o un cambio en las circunstancias. La polticapara la gestin del riesgo se debera comunicar de manera adecuada.
Rendicin de cuentas
-
-
-
-
-
4.3.3
La organizacin debera garantizar que existe responsabilidad, autoridad y competenciaadecuada para gestionar el riesgo, incluyendo la implementacin y mantenimiento del procesopara la gestin del riesgo y garantizando la idoneidad, eficacia y eficiencia de todos loscontroles. Esto se puede facilitar mediante:
13
-
-NTC-ISO 31000
la identificacin de los propietarios del riesgo a quienes corresponde rendir cuentas ytienen autoridad para su gestin;
la identificacin de quin debe dar cuentas por el desarrollo, la implementacin y elmantenimiento del marco para la gestin del riesgo;
la identificacin de otras responsabilidades en el proceso para la gestin del riesgo delos individuos en todos los niveles de la organizacin;
estableciendo la medicin del desempeo y procesos de escalamiento y reporteexterno, interno, o ambos; y
garantizando niveles adecuados de reconocimiento.
Integracin en los procesos de la organizacin
-
-
-
-
4.3.4
La gestin del riesgo debera estar incluida en todas las prcticas y los procesos de laorganizacin en una manera que sea pertinente, eficaz y eficiente. El proceso para la gestindel riesgo se debera convertir en parte, no independiente, de los procesos de la organizacin.En particular, la gestin del riesgo se debera incluir en el desarrollo de la poltica, laplanificacin estratgica y del negocio, la revisin y en los procesos de gestin del cambio.
Debera existir un plan para la gestin del riesgo a todo lo ancho de la organizacin paragarantizar que se implementa la poltica para la gestin del riesgo y que la gestin del riesgoest incluida en todas las prcticas y los procesos de la organizacin. El plan para la gestindel riesgo se podra integrar en otros planes de la organizacin, por ejemplo en el planestratgico.
4.3.5 Recursos
La organizacin debera asignar los recursos adecuados para la gestin del riesgo.
Se recomienda considerar los siguientes aspectos:
-
-
-
personas, habilidades, experiencia y competencia.
recursos necesarios para cada paso del proceso de gestin del riesgo
los procesos, mtodos y herramientas de la organizacin que se van a utilizar paragestionar el riesgo;
procesos y procedimientos documentados;
sistemas de gestin de la informacin y el conocimiento; y
programas de entrenamiento.
-
-
-
4.3.6 Establecer mecanismos para la comunicacin interna y la presentacin de informes
La organizacin debera establecer mecanismos para la comunicacin interna y la presentacinde informes con el fin de ayudar y fomentar la rendicin de cuentas y la pertenencia del riesgo.
14
-
NTC-ISO 31000
Estos mecanismos deberan garantizar que:
- los componentes clave del marco para la gestin del riesgo y todas las modificacionesposteriores se comunican de manera correcta;
existe un reporte interno adecuado acerca del marco, su eficacia y resultados;
la informacin pertinente derivada de la aplicacin de la gestin del riesgo estdisponible en los niveles y los momentos convenientes; y
existen procesos para la consulta con las partes involucradas internas.
-
-
-
Estos mecanismos deberan incluir, cuando as corresponda, los procesos para consolidar lainformacin del riesgo proveniente de diversas fuentes, y puede ser necesario que considerenla sensibilidad de la informacin.
4.3.7 Establecer mecanismos para la comunicacin externa y la presentacin de informes
La organizacin debera desarrollar e implementar un plan sobre la forma como se comunicarcon las partes involucradas externas. El plan debera incluir:
- involucrar apropiadamente las partes interesadas externas y garantizar un intercambioefectivo de la informacin;
reporte externo para cumplir con los requisitos legales, reglamentarios y del gobierno;
brindar retroalimentacin e informes sobre la comunicacin y las consultas;
usar la comunicacin para crear confianza en la organizacin; y
comunicarse con las partes involucradas en el evento de una crisis o contingencia.
-
-
-
-
Estos mecanismos deberan incluir, cuando as corresponda, los procesos para consolidar lainformacin del riesgo proveniente de diversas fuentes, y puede ser necesario que considerenla sensibilidad de la informacin.
4.4
4.4.1
IMPLEMENTAR LA GESTIN DEL RIESGO
Implementar el marco de referencia para gestionar el riesgo
Al implementar el marco de referencia de la organizacin para la gestin del riesgo, laorganizacin debera:
- definir el tiempo y la estrategia adecuados para la implementacin del marco dereferencia;
aplicar el proceso y la poltica para la gestin del riesgo a los procesos de laorganizacin;
cumplir con los requisitos legales y reglamentarios;
garantizar que la toma de decisiones, incluyendo el desarrollo y establecimiento deobjetivos, est en lnea con los resultados de los procesos para la gestin del riesgo;
15
-
-
-
-
--
NTC-ISO 31000
llevar a cabo sesiones de informacin y entrenamiento; y
comunicarse y consultar a las partes involucradas para garantizar que el marco para lagestin del riesgo sigue siendo adecuado.
Implementar el proceso para la gestin del riesgo4.4.2
La gestin del riesgo se debera implementar garantizando que el proceso para la gestin delriesgo que se describe en el numeral 5 se aplica a travs de un plan para la gestin del riesgoen todos los niveles y las funciones pertinentes de la organizacin como parte de sus prcticasy procesos.
4.5 MONITOREAR Y REVISAR EL MARCO DE REFERENCIA
Con el fin de garantizar que la gestin del riesgo es eficaz y contina sustentando eldesempeo de la organizacin, la organizacin debera:
- medir el desempeo de la gestin del riesgo frente a los indicadores, los cuales serevisan peridicamente para determinar su idoneidad;
medir peridicamente el progreso frente al plan para la gestin del riesgo y lasdesviaciones con respecto a ste;
revisar peridicamente si el marco de referencia, la poltica y el plan para la gestin delriesgo siguen siendo adecuados, segn el contexto externo e interno de la organizacin;
presentar informes sobre el riesgo, el progreso con el plan para la gestin del riesgo ysobre que tanto se cumple la poltica para la gestin del riesgo; y
revisar la eficacia del marco de referencia para la gestin del riesgo.
MEJORA CONTINUA DEL MARCO DE REFERENCIA
-
-
-
-
4.6
Con base en los resultados del monitoreo y las revisiones, se deberan tomar decisiones sobrela forma en que se podran mejorar el marco de referencia, la poltica y el plan para la gestindel riesgo. Estas decisiones deberan originar mejoras en la gestin del riesgo de laorganizacin y en su cultura de la gestin del riesgo.
5.
5.1
PROCESO
GENERALIDADES
El proceso para la gestin del riesgo debera:
-
-
-
ser parte integral de la gestin,
estar incluido en la cultura y las prcticas, y
estar adaptado a los procesos de negocio de la organizacin.
El proceso comprende las actividades que se describen en los numerales 5.2 al 5.6. El procesopara la gestin del riesgo se ilustra en la Figura 3.
16
-
NTC-ISO 31000
Establecimiento del contexto (5.3)
Valoracin del riesgo (5.4)
Comunicacin y consulta (5.2)
Identificacin del riesgo (5.4.2)Monitoreo y revisin (5.6)
Anlisis del riesgo (5.4.3)
Evaluacin del riesgo (5.4.4)
Tratamiento del riesgo (5.5)
Figura 3. Proceso para la gestin del riesgo
5.2 COMUNICACIN Y CONSULTA
La comunicacin y la consulta con las partes involucradas externas e internas deberan tenerlugar durante todas las etapas del proceso para la gestin del riesgo.
Por lo tanto, se deberan desarrollar tempranamente los planes para la comunicacin y laconsulta. stos deberan abordar aspectos relacionados con el propio riesgo, sus causas, susconsecuencias (si se conocen), y las medidas que se toman para tratarlo. Es conveniente quetengan lugar la comunicacin y las consultas externas e internas eficaces para garantizar queaquellos responsables de la implementacin del proceso para la gestin del riesgo y las partesinvolucradas entiendan las bases sobre las cuales se toman las decisiones, y las razones porlas cuales se requieren acciones particulares.
Un enfoque de equipo consultor puede:
-
-
ayudar a establecer correctamente el contexto;
garantizar que se entienden y se toman en consideracin los intereses de las partesinvolucradas;
ayudar a garantizar que los riesgos estn correctamente identificados;
reunir diferentes reas de experticia para analizar los riesgos,
garantizar que los diversos puntos de vista se toman en consideracin adecuadamenteal definir los criterios del riesgo y al evaluar los riesgos;
17
-
-
-
-
--
NTC-ISO 31000
asegurar la aprobacin y el soporte para el plan de tratamiento;
fomentar la gestin adecuada del cambio durante el proceso para la gestin del riesgo;y
desarrollar un plan adecuado de comunicacin y consulta externo e interno.-
La comunicacin y la consulta con las partes involucradas son importantes dado que ellas dansus opiniones acerca del riesgo con base en sus percepciones de ste. Estas percepcionespueden variar debido a las diferencias en los valores, las necesidades, las asunciones, losconceptos y los intereses de las partes involucradas. Dado que sus puntos de vista puedentener un impacto significativo en las decisiones que se toman, las percepciones de las partesinvolucradas se deberan identificar, registrar y tomar en consideracin en el proceso de tomade decisiones.
La comunicacin y la consulta deberan facilitar los intercambios de informacin veraz,pertinente, precisa y fcil de entender, teniendo en cuenta los aspectos de la integridadpersonal y confidencial.
5.3
5.3.1
ESTABLECIMIENTO DEL CONTEXTO
Generalidades
Al establecer el contexto, la organizacin articula sus objetivos, define los parmetros externose internos que se van a considerar al gestionar el riesgo y establece el alcance y los criteriosdel riesgo para el resto del proceso. Aunque muchos de estos parmetros son similares aaquellos que se consideran en el diseo del marco de referencia para la gestin del riesgo(vase el numeral 4.3.1), al establecer el contexto del proceso para la gestin del riesgo, esnecesario que estos parmetros se consideren en mayor detalle y, en particular, la maneracomo se relacionan con el alcance del proceso para la gestin del riesgo particular.
5.3.2 Establecer el contexto externo
El contexto externo es el ambiente externo en el cual la organizacin busca alcanzar susobjetivos.
Entender el contexto externo es importante con el fin de garantizar que los objetivos y laspreocupaciones de las partes involucradas externas se toman en consideracin al desarrollarlos criterios del riesgo. Esto se basa en el contexto a todo lo ancho de la organizacin, pero condetalles especficos de los requisitos legales y reglamentarios, las percepciones de las partesinvolucradas y otros aspectos de los riesgos especficos para el alcance del proceso paragestionar el riesgo.
El contexto externo puede incluir, entre otros:
- el ambiente social y cultural, poltico, legal, reglamentario, financiero, tecnolgico,econmico, natural y competitivo, bien sea internacional, nacional, regional o local;
los impulsores clave y las tendencias que tienen impacto en los objetivos de laorganizacin; y
las relaciones con las partes involucradas externas y sus percepciones y valores.
-
-
18
-
5.3.3 Establecer el contexto interno
NTC-ISO 31000
El contexto interno es el ambiente interno en el cual la organizacin busca alcanzar susobjetivos.
El proceso para la gestin del riesgo debera estar alineado con la cultura, los procesos, laestructura y la estrategia de la organizacin. El contexto interno es todo aquello dentro de laorganizacin que pueda tener influencia en la forma en que la organizacin gestionar elriesgo. Este contexto se debe establecer porque:
a)
b)
la gestin del riesgo tiene lugar en el contexto de los objetivos de la organizacin;
los objetivos y los criterios de un proyecto, proceso o actividad en particular se deberanconsiderar a la luz de los objetivos de la organizacin como un todo; y
algunas organizaciones fracasan en reconocer las oportunidades para alcanzar susobjetivos estratgicos, del proyecto o el negocio, y esto afecta la continuidad delcompromiso, la credibilidad, la confianza y el valor de la organizacin.
c)
Es necesario entender el contexto interno. ste puede incluir, entre otros:
-
-
-
gobierno, estructura de la organizacin, funciones y responsabilidades;
polticas, objetivos y las estrategias implementadas para lograrlos;
capacidades, entendidas en trminos de recursos y conocimientos (por ejemplo capital,tiempo, personas, procesos, sistemas y tecnologas);
las relaciones con las partes involucradas internas y sus percepciones y valores;
la cultura de la organizacin;
sistemas de informacin, flujos de informacin y procesos de toma de decisiones (tantoformales como informales);
normas, directrices y modelos adoptados por la organizacin; y
forma y extensin de las relaciones contractuales.
Establecer el contexto del proceso para la gestin del riesgo
-
-
-
-
-
5.3.4
Se recomienda establecer los objetivos, las estrategias, el alcance y los parmetros de lasactividades de la organizacin, o de aquellas partes de la organizacin en donde se aplica elproceso para la gestin del riesgo. La gestin del riesgo se debera emprender con totalconsideracin de la necesidad de justificar los recursos utilizados para llevar a cabo dichagestin. Tambin se deberan especificar los recursos necesarios, las responsabilidades yautoridades, y los registros que se deben conservar.
El contexto del proceso para la gestin del riesgo variar de acuerdo con las necesidades de laorganizacin. Este contexto puede involucrar, entre otros:
- definicin de las metas y los objetivos de las actividades de gestin del riesgo;
19
-
-NTC-ISO 31000
definicin de las responsabilidades del proceso para la gestin del riesgo y dentro deeste;
definicin del alcance, as como de la profundidad y extensin de las actividades degestin del riesgo que se van a llevar a cabo, incluyendo las exclusiones e inclusionesespecficas;
definir actividad, proceso, funcin, proyecto, producto, servicio o activo en trminos detiempo y ubicacin;
definicin de las relaciones entre el proyecto, el proceso o la actividad particulares yotros proyectos, procesos o actividades de la organizacin;
definicin de las metodologas para la valoracin del riesgo;
definicin de la forma de evaluar el desempeo y la eficacia en la gestin del riesgo;
identificacin y especificacin de las decisiones que se deben tomar; y
identificacin, establecimiento del alcance o el marco de los estudios necesarios, suextensin y objetivos, y los recursos necesarios para tales estudios.
-
-
-
-
-
-
-
La atencin a estos y otros factores importantes debera ayudar a garantizar que el enfoquepara la gestin del riesgo que se ha adoptado es el adecuado para las circunstancias, laorganizacin y los riesgos que afectan el logro de sus objetivos.
5.3.5 Definir los criterios del riesgo
La organizacin debera definir los criterios que se van a utilizar para evaluar la importancia delriesgo. Los criterios deberan reflejar los valores, objetivos y recursos de la organizacin.Algunos criterios pueden estar impuestos por lo requisitos legales y reglamentarios o derivarsede ellos y de otros requisitos a los cuales la organizacin se suscribe. Los criterios del riesgodeberan ser consistentes con la poltica para la gestin del riesgo de la organizacin (vase elnumeral 4.3.2), estar definidos al comienzo de todo proceso para la gestin del riesgo y serrevisados continuamente.
Al definir los criterios del riesgo, los factores que se van a considerar deberan incluir lossiguientes:
- la naturaleza y los tipos de causas y consecuencias que se pueden presentar y la formaen que se van a medir;
cmo se va a definir la probabilidad;
los marcos temporales de la probabilidad, las consecuencias, o ambas;
cmo se va a determinar el nivel de riesgo;
los puntos de vista de las partes involucradas;
el nivel en el cual el riesgo se torna aceptable o tolerable; y
si se debera o no tener en cuenta combinaciones de riesgos mltiples y, si es as, cmoy cules combinaciones se deberan considerar.
20
-
-
-
-
-
-
-
5.4
5.4.1
VALORACIN DEL RIESGO
Generalidades
NTC-ISO 31000
La valoracin del riesgo es el proceso total de identificacin del riesgo, anlisis del riesgo yevaluacin del riesgo.
NOTA ISO/IEC 31010 brinda directrices sobre las tcnicas de valoracin del riesgo.
5.4.2 Identificacin del riesgo
La organizacin debera identificar las fuentes de riesgo, las reas de impacto, los eventos(incluyendo los cambios en las circunstancias) y sus causas y consecuencias potenciales. Elobjeto de esta fase es generar una lista exhaustiva de riesgos con base en aquellos eventosque podran crear, aumentar, prevenir, degradar, acelerar o retrasar el logro de los objetivos.Es importante identificar los riesgos asociados a la no bsqueda de una oportunidad. Laidentificacin exhaustiva es crtica porque un riesgo que no se identifique en esta fase no serincluido en el anlisis posterior.
La identificacin debera incluir los riesgos independientemente de si su origen est o no bajocontrol de la organizacin, an cuando el origen del riesgo o su causa pueden no serevidentes. La identificacin del riesgo debera incluir el examen de los efectos colaterales delas consecuencias particulares, incluyendo los efectos en cascada y acumulativos. Tambin sedebera considerar un rango amplio de consecuencias incluso si el origen del riesgo o su causapueden no ser evidentes. Al igual que la identificacin de lo que podra suceder, es necesarioconsiderar las causas y los escenarios posibles que muestran que las consecuencias sepodran presentar. Se recomienda considerar todas las causas y consecuencias significativas.
La organizacin debera aplicar herramientas y tcnicas para la identificacin del riesgo quesean adecuadas a sus objetivos y capacidades, y a los riesgos que se enfrentan. Lainformacin pertinente y actualizada es importante para identificar los riesgos. Esta informacindebera incluir, siempre que sea posible, la informacin bsica. En la identificacin del riesgo sedeberan involucrar las personas con el conocimiento apropiado.
5.4.3 Anlisis del riesgo
El anlisis del riesgo implica el desarrollo y la comprensin del riesgo. Este anlisis brinda unaentrada para la evaluacin del riesgo y para las decisiones sobre si es necesario o no tratar losriesgos y sobre las estrategias y mtodos ms adecuados para su tratamiento. El anlisis delriesgo tambin brinda una entrada para la toma de decisiones, en la cual se deben hacerelecciones y las opciones implican diversos tipos y niveles de riesgo.
El anlisis del riesgo involucra la consideracin de las causas y las fuentes de riesgo, susconsecuencias positivas y negativas, y la probabilidad de que tales consecuencias puedanocurrir. Se deberan identificar los factores que afectan a las consecuencias y a la probabilidad.El riesgo es analizado determinando las consecuencias y su probabilidad, y otros atributos delriesgo. Un evento puede tener consecuencias mltiples y puede afectar a objetivos mltiples.Tambin se deberan considerar los controles existentes y su eficacia y eficiencia.
La forma en la cual las consecuencias y la probabilidad se expresan y la forma en la cual ellasse combinan para determinar un nivel de riesgo debera reflejar el tipo de riesgo, la informacindisponible y el propsito para el cual se va a usar la salida de la valoracin del riesgo. Todoesto debera ser consistente con los criterios del riesgo. Tambin es importante considerar lainterdependencia de los diferentes riesgos y sus orgenes.
21
-
NTC-ISO 31000
La confianza en la determinacin del nivel de riesgo y su sensibilidad a las precondiciones yasunciones se debera considerar en el anlisis y comunicar eficazmente a quienes toman lasdecisiones y, segn corresponda, a otras partes involucradas. Factores tales como ladivergencia de opinin entre los expertos, la incertidumbre, la disponibilidad, la calidad, lacantidad y la pertinencia continua de la informacin, o los limitantes en el modelado sedeberan establecer y se pueden enfatizar.
El anlisis del riesgo se puede realizar con diversos grados de detalle, dependiendo del riesgo,el propsito del anlisis y la informacin, datos y recursos disponibles. El anlisis puede sercualitativo, semicuantitativo o cuantitativo, o una combinacin de ellos, dependiendo de lascircunstancias.
Las consecuencias y su probabilidad se pueden determinar modelando los resultados de unevento o grupo de eventos, o mediante extrapolacin a partir de estudios experimentales o delos datos disponibles. Las consecuencias se pueden expresar en trminos de impactostangibles e intangibles. En algunos casos, se requiere ms de un valor numrico o descriptorpara especificar las consecuencias y su probabilidad en diferentes momentos, lugares, gruposo situaciones.
5.4.4 Evaluacin del riesgo
El propsito de la evaluacin del riesgo es facilitar la toma de decisiones, basada en losresultados de dicho anlisis, a acerca de cules riesgos necesitan tratamiento y la prioridadvara la implementacin del tratamiento.
La evaluacin del riesgo implica la comparacin del nivel de riesgo observado durante elproceso de anlisis y de los criterios del riesgo establecidos al considerar el contexto. Con baseen esta comparacin, se puede considerar la necesidad de tratamiento.
En las decisiones se debera tener en cuenta el contexto ms amplio del riesgo e incluirconsideracin de la tolerancia de los riesgos que acarrean otras partes diferentes de laorganizacin que se benefician de los riesgos. Las decisiones se deberan tomar de acuerdocon los requisitos legales, reglamentarios y otros.
En algunas circunstancias, la evaluacin del riesgo puede llevar a la decisin de emprender unanlisis adicional. La evaluacin del riesgo tambin puede tener como resultado la decisin deno tratar el riesgo de ninguna manera diferente del mantenimiento de los controles existentes.Esta decisin estar influida por la actitud de la organizacin hacia el riesgo y por los criteriosdel riesgo que se han establecido.
5.5
5.5.1
TRATAMIENTO DEL RIESGO
Generalidades
El tratamiento del riesgo involucra la seleccin de una o ms opciones para modificar losriesgos y la implementacin de tales opciones. Una vez implementado, el tratamientosuministra controles o los modifica.
El tratamiento del riesgo implica un proceso cclico de:
-
-
valoracin del tratamiento del riesgo;
decisin sobre si los niveles de riesgo residual son tolerables;
22
-
--
NTC-ISO 31000
si no son tolerables, generacin de un nuevo tratamiento para el riesgo; y
valoracin de la eficacia de dicho tratamiento.
Las opciones para el tratamiento del riesgo no necesariamente son mutuamente excluyentes niadecuadas en todas las circunstancias. Las opciones pueden incluir las siguientes:
a)
b)
c)
d)
e)
f)
evitar el riesgo al decidir no iniciar o continuar la actividad que lo origin;
tomar o incrementar el riesgo para perseguir una oportunidad;
retirar la fuente de riesgo;
cambiar la probabilidad;
cambiar las consecuencias;
compartir el riesgo con una o varias de las partes, (incluyendo los contratos y lafinanciacin del riesgo); y
retener el riesgo mediante una decisin informada.
Seleccin de las opciones para el tratamiento del riesgo
g)
5.5.2
La seleccin de las opciones ms adecuadas para el tratamiento del riesgo implica equilibrarlos costos y los esfuerzos de la implementacin frente a los beneficios derivados con respectoa los requisitos legales, reglamentarios y otros, como por ejemplo la responsabilidad social y laproteccin del ambiente natural. En las decisiones tambin se deberan considerar los riesgosque pueden ameritar el tratamiento que no es justificable en trminos econmicos, por ejemplolos riesgos graves (consecuencia negativa alta) pero raros (baja probabilidad).
Se puede considerar y aplicar una cantidad de opciones para el tratamiento ya seaindividualmente o en combinacin. Normalmente, la organizacin se puede beneficiar de laadopcin de una combinacin de opciones de tratamiento.
Al seleccionar las opciones para tratar el riesgo, la organizacin debera considerar los valoresy las percepciones de las partes involucradas, y las vas ms adecuadas para comunicarse conellos. Cuando las opciones para tratar el riesgo pueden tener impacto en el riesgo en otraspartes de la organizacin o para otras partes involucradas, estas opciones se deberan incluiren la decisin. Aunque tienen igual eficacia, algunos tratamientos para el riesgo pueden serms aceptables para algunas partes involucradas que para otras.
El plan de tratamiento debera identificar claramente el orden de prioridad en el cual sedeberan implementar los tratamientos individuales para el riesgo.
El tratamiento en s mismo puede introducir riesgos. Un riesgo significativo puede ser la falla ola ineficacia de las medidas del tratamiento. Es necesario que el monitoreo sea parte integraldel plan de tratamiento del riesgo para garantizar que las medidas sigan siendo eficaces.
El tratamiento tambin puede introducir riesgos secundarios que es necesario valorar, tratar,monitorear y revisar. Estos riesgos secundarios se deberan incorporar en el mismo plan detratamiento definido para el riesgo original y no se deberan tratar como riesgos nuevos. Esrecomendable identificar y mantener el vnculo entre los dos riesgos.
23
-
5.5.3
NTC-ISO 31000
Preparacin e implementacin de los planes para el tratamiento del riesgo
El propsito de los planes para el tratamiento del riesgo es documentar la forma en que se vana implementar las opciones de tratamiento seleccionadas. La informacin suministrada en losplanes de tratamiento debera incluir:
- las razones para la seleccin de las opciones de tratamiento, que incluyan losbeneficios que se espera obtener;
aquellos que son responsables de aprobar el plan y los responsables de implementarlo;
acciones propuestas;
requisitos de recursos, incluyendo las contingencias;
medidas y restricciones de desempeo;
requisitos de monitoreo y reporte; y
tiempo y cronograma.
-
-
-
-
-
-
Los planes de tratamiento se deberan integrar con los procesos de gestin de la organizaciny se deberan discutir con las partes involucradas pertinentes.
Los encargados de tomar las decisiones y otras partes involucradas deberan conocer lanaturaleza y la extensin del riesgo residual despus del tratamiento del riesgo. El riesgoresidual se debera documentar y someter a monitoreo, revisin y, cuando as corresponda, atratamiento adicional.
5.6 MONITOREO Y REVISIN
Tanto el monitoreo como la reedicin debera ser una parte planificada del proceso para lagestin del riesgo e incluir verificacin o vigilancia regulares. Pueden ser peridicos o segnconvenga.
Las responsabilidades del monitoreo y la revisin deberan estar claramente definidas.
Los procesos de monitoreo y revisin de la organizacin deberan comprender todos losaspectos del proceso para la gestin del riesgo con el fin de:
- garantizar que los controles son eficaces y eficientes tanto en el diseo como en laoperacin;
obtener informacin adicional para mejorar la valoracin del riesgo;
analizar y aprender lecciones a partir de los eventos (incluyendo los cuasi accidentes),los cambios, las tendencias, los xitos y los fracasos;
detectar cambios en el contexto externo e interno, incluyendo los cambios en loscriterios del riesgo y en el riesgo mismo que puedan exigir revisin de los tratamientosdel riesgo y las prioridades; y
identificar los riesgos emergentes.
24
-
-
-
-
-
NTC-ISO 31000
El avance en la implementacin de los planes para tratamiento del riesgo suministra unamedida de desempeo. Los resultados se pueden incorporar en las actividades globales degestin del desempeo, medicin y reporte externo e interno de la organizacin.
Los resultados del monitoreo y la revisin se deberan registrar y reportar interna yexternamente segn corresponda, y se deberan utilizar como una entrada para la revisin delmarco de referencia para la gestin del riesgo (vase el numeral 4.5).
5.7 REGISTRO DEL PROCESO PARA LA GESTIN DEL RIESGO
Las actividades para la gestin del riesgo deberan tener trazabilidad. En el proceso para lagestin del riesgo, los registros brindan la base para la mejora de los mtodos y lasherramientas, as como del proceso global.
En las decisiones con respecto a la creacin de registros se debera tener en cuenta:
-
-
-
-
-
-
-
las necesidades de la organizacin con respecto al aprendizaje continuo;
los beneficios de reutilizar la informacin con propsitos de gestin;
los costos y esfuerzos involucrados en la creacin y el mantenimiento de los registros;
las necesidades legales, reglamentarias y operativas para los registros;
los mtodos de acceso, la facilidad de recuperacin y los medios de almacenamiento;
el periodo de retencin; y
la sensibilidad de la informacin.
25
-
NTC-ISO 31000
ANEXO A(Informativo)
ATRIBUTOS DE LA GESTIN MEJORADA DEL RIESGO
A.1 GENERALIDADES
Todas las organizaciones deberan tener como meta el nivel adecuado de desempeo de sumarco de referencia para la gestin del riesgo en concordancia con la importancia crtica de lasdecisiones que se deben tomar. La lista de atributos que se indica a continuacin representa unnivel alto de desempeo en la gestin del riesgo. Para ayudar a las organizaciones a medir supropio desempeo en comparacin con estos criterios, se brindan algunos indicadorestangibles para cada atributo.
A.2 RESULTADOS IMPORTANTES
A.2.1 La organizacin tiene una comprensin actual, correcta y exhaustiva de sus riesgos.
A.2.2 Los riesgos de la organizacin se encuentran dentro de sus criterios del riesgo.
A.3 ATRIBUTOS
A.3.1 Mejora continua
Se hace nfasis en la mejora continua de la gestin del riesgo a travs del establecimiento delas metas de desempeo de la organizacin, la medicin, revisin y modificacin posterior deprocesos, sistemas, recursos, capacidad y habilidades.
El indicador podra ser la existencia de metas explcitas de desempeo en comparacin con lascuales se mide el desempeo de la organizacin y del director individual. El desempeo de laorganizacin se puede publicar y comunicar. Normalmente, habr por lo menos una revisinanual del desempeo, despus una revisin de los procesos, y luego el establecimiento deobjetivos revisados de desempeo para el perodo siguiente.
La valoracin del desempeo de la gestin del riesgo es una parte integral de la valoracinglobal del desempeo de la organizacin y del sistema de medicin para los departamentos ylos individuos.
A.3.2 Rendicin total de cuentas con respecto a los riesgos
La gestin mejorada del riesgo incluye la rendicin de cuentas exhaustiva, totalmente definida yaceptada de los riesgos, los controles y las tareas para el tratamiento del riesgo. Los individuosasignados aceptan totalmente la responsabilidad, tienen las habilidades adecuadas y losrecursos pertinentes para verificar los controles, monitorear los riesgos, mejorar los controles ycomunicarse eficazmente acerca de los riesgos y su gestin con las partes involucradasexternas e internas.
El indicador podra estar constituido por todos los miembros de una organizacin que conocentotalmente los riesgos, los controles y las labores de las cuales son responsables.Normalmente, la responsabilidad estar registrada en las descripciones del trabajo o el cargo,en las bases de datos o los sistemas de informacin. La definicin de las funciones,
26
-
NTC-ISO 31000
obligaciones y responsabilidades en la gestin del riesgo debera ser parte de los programasde induccin de la organizacin
La organizacin garantiza que los responsables estn equipados para cumplir esa funcinbrindndoles la autoridad, el tiempo, el entrenamiento, los recursos y las habilidades suficientespara asumir sus obligaciones.
A.3.3 Aplicacin de la gestin del riesgo en la toma de decisiones
La toma de decisiones en la organizacin, independientemente del nivel de importancia ysignificado, involucra la consideracin explcita de los riesgos y la aplicacin, en algn grado,de la gestin de riesgos.
El indicador podra consistir en registros de las reuniones y las decisiones que muestren quetuvieron lugar las discusiones explcitas sobre los riesgos. Adems, debera ser posible ver quetodos los componentes de la gestin del riesgo estn representados en los procesos clave parala toma de decisiones en la organizacin, por ejemplo para las decisiones sobre asignacin decapital o proyectos principales y sobre los cambios de estructurales y organizacionales. Porestas razones, una base slida para la gestin del riesgo se considera en la organizacinaquella que brinda las bases para el gobierno eficaz.
A.3.4 Comunicaciones continuas
La gestin mejorada del riesgo incluye las comunicaciones continuas con las partesinvolucradas externas e internas, que incluyan el reporte exhaustivo y frecuente del desempeode la gestin del riesgo como parte del buen gobierno.
El indicador podra ser la comunicacin con las partes involucradas como componente integraly esencial de la gestin del riesgo. La comunicacin puede bien considerarse un proceso dedoble va, de modo que se pueden tomar decisiones correctamente informadas acerca del niveldel riesgo y la necesidad de tratamiento frente a criterios del riesgo adecuadamenteestablecidos y exhaustivos.
El reporte exhaustivo y frecuente, externo e interno, tanto sobre los riesgos significativos comosobre el desempeo de la gestin del riesgo contribuye significativamente al gobierno eficazdentro de la organizacin.
A.3.5 Integracin completa en la estructura de gobierno de la organizacin
La gestin del riesgo se considera parte central de los procesos de gestin de la organizacin,de modo que los riesgos estn considerados en trminos del efecto de la incertidumbre en losobjetivos. La estructura y los procesos de gobierno se basan en la gestin del riesgo. Lagestin eficaz del riesgo es considerada por los directores un factor esencial para el logro delos objetivos de la organizacin.
El indicador podra ser el lenguaje de los directores y el material escrito importante en laorganizacin que utiliza el trmino "incertidumbre" en conexin con los riesgos. Este atributotambin est reflejado normalmente en las declaraciones de la poltica de la organizacin, enparticular las que se relacionan con la gestin del riesgo. Normalmente, este atributo severificara a travs de entrevistas con los directores y a travs de la evidencia de sus actos ydeclaraciones.
27
-
NTC-ISO 31000
BIBLIOGRAFA
[1]
[2]
ISO Guide 73:2009, Risk Management. Vocabulary.
ISO/IEC 31010, Risk Management. Risk Assessment Techniques.
28
-
DOCUMENTO DE REFERENCIA
NTC-ISO 31000
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. Risk Management. Principlesand Guidelines. Geneva: ISO, 2009, 24p (ISO /IEC 31000:2009 (E)).
29