ESQUEMA 1 DE NORMA IRAM 17551 - RiesgoOperacional.comIRAM es el representante de la Argentina en la...

ESQUEMA 1

DE NORMA IRAM 17551 17551 2007

Sistemas de gestión de riesgos

Requisitos

Risk management system. Requirements.

LAS OBSERVACIONES DEBEN

ENVIARSE CON EL FORMULARIO DE LA

ETAPA DE DISCUSIÓN PÚBLICA

DOCUMENTO EN ESTUDIO Octubre de 2007

Esquema 1 IRAM 17551:2007

Prefacio El Instituto Argentino de Normalización y Certificación (IRAM) es una asociación civil sin fines de lucro cuyas finalidades específicas, en su carácter de Organismo Argentino de Normalización, son establecer normas técnicas, sin limitaciones en los ámbitos que abarquen, además de propender al conocimiento y la aplicación de la normalización como base de la calidad, promoviendo las actividades de certificación de productos y de sistemas de la calidad en las empresas para brindar seguridad al consumidor.

IRAM es el representante de la Argentina en la International Organization for Standardization (ISO), en la Comisión Panamericana de Normas Técnicas (COPANT) y en la Asociación MERCOSUR de Normalización (AMN).

Esta norma IRAM es el fruto del consenso técnico entre los diversos sectores involucrados, los que a través de sus representantes han intervenido en los Organismos de Estudio de Normas correspondientes.

3


Índice

Página 0 INTRODUCCIÓN.............................................................................................................7

0.1 Generalidades...........................................................................................................7 0.2 Enfoque basado en procesos ...................................................................................8 0.3 Compatibilidad con otros sistemas de gestión..........................................................9

1 OBJETO Y CAMPO DE APLICACIÓN............................................................................9

1.1 Generalidades...........................................................................................................9 1.2 Conformidad..............................................................................................................9

2 DOCUMENTOS NORMATIVOS PARA CONSULTA....................................................10

3 TÉRMINOS Y DEFINICIONES......................................................................................10

4 SISTEMA DE GESTIÓN DE RIESGOS ........................................................................10

4.1 Requisitos generales...............................................................................................10 4.2 Requisitos de la documentación .............................................................................11

4.2.1 Generalidades ..................................................................................................11 4.2.2 Manual del Sistema de Gestión de riesgos......................................................11 4.2.3 Control de documentos ....................................................................................11 4.2.4 Control de los registros.....................................................................................11

5 RESPONSABILIDAD DE LA DIRECCIÓN ....................................................................12

5.1 Compromiso de la dirección....................................................................................12 5.2 Enfoque hacia las partes interesadas.....................................................................12 5.3 Política de Gestión de riesgos ................................................................................12 5.4 Planificación ............................................................................................................12

5.4.1 Objetivos de la gestión de riesgos ...................................................................12 5.4.2 Planificación del sistema de gestión de riesgos...............................................13

5.5 Responsabilidad, autoridad y comunicación...........................................................13 5.5.1 Responsabilidad y autoridad ............................................................................13 5.5.2 Representante de la dirección..........................................................................13 5.5.3 Comunicación interna.......................................................................................13

5.6 Revisión por la dirección.........................................................................................13 5.6.1 Generalidades ..................................................................................................13 5.6.2 Información para la revisión .............................................................................13 5.6.3 Resultados de la revisión .................................................................................13

6 GESTIÓN DE LOS RECURSOS...................................................................................14

6.1 Provisión de los recursos........................................................................................14 6.2 Recursos humanos .................................................................................................14

6.2.1 Generalidades ..................................................................................................14 6.2.2 Competencia, toma de conciencia y formación ...............................................14

6.3 Infraestructura .........................................................................................................14

7 REALIZACIÓN DEL PROCESO DE GESTIÓN DE RIESGOS.....................................14

7.1 Procesos de gestión de riesgos..............................................................................14 7.1.1 Generalidades ..................................................................................................14 7.1.2 Elementos principales ......................................................................................14 7.1.3 Planificación continua del proceso de gestión de riesgos................................15

4


7.1.4 Elementos de entrada para al proceso de gestión de riesgos.........................15 7.1.5 Resultados del proceso de gestión de riesgos ................................................16 7.1.6 Revisión del proceso de gestión de riesgos.....................................................16 7.1.7 Verificación del proceso de gestión de riesgos................................................16 7.1.8 Validación del proceso de gestión de riesgos..................................................16 7.1.9 Control de los cambios del proceso de gestión de riesgos..............................16

7.2 Procesos de gestión de riesgos relacionados con terceras partes ........................16 7.2.1 Transferencia del riesgo...................................................................................16

8 EVALUACIÓN, ANÁLISIS Y MEJORA..........................................................................17

8.1 Generalidades.........................................................................................................17 8.1.1 Auditoría interna del SGR ................................................................................17 8.1.2 Seguimiento y evaluación del proceso de gestión de riesgos .........................17 8.1.3 Seguimiento y evaluación de los resultados de los procesos de gestión de riesgos ...................................................................................................................17

8.2 Gestión de las no-conformidades de sistema y de los episodios adversos ..........18 8.3 Análisis de Datos ....................................................................................................18 8.4 Mejora del SGR ......................................................................................................18

8.4.1 Mejora continua................................................................................................18 8.4.2 Acciones correctivas ........................................................................................18 8.4.3 Acciones preventivas .......................................................................................18

Anexo A (Informativo) Definiciones tomadas de otras normas .........................................20

Anexo B (Informativo) Proceso de Gestión de Riesgos....................................................23

Anexo C (Informativo) Bibliografía.....................................................................................25

Anexo D (Informativo) Integrantes del organismo de estudio ...........................................26

5


6


Sistemas de gestión de riesgos Requisitos 0 INTRODUCCIÓN 0.1 Generalidades La adopción de un sistema de gestión de ries-gos (SGR) debería ser una decisión estratégica de la organización. Aunque el concepto de riesgo es a menudo in-terpretado en términos de peligros o impactos negativos, esta norma interpreta al riesgo como exposición a las consecuencias de la incertidum-bre, o cambios potenciales respecto de lo que está planeado o se espera. Este proceso descri-to aquí se aplica tanto a la gestión de los beneficios potenciales como a la gestión de las pérdidas potenciales. No es propósito de esta Norma proporcionar uni-formidad en la estructura de los sistemas de gestión de riesgos o en la documentación. La información identificada en diferentes partes de la norma como “NOTA” se presenta a modo de orientación para la comprensión o clarifica-ción del requisito correspondiente. Esta norma puede ser utilizada por partes in-ternas y externas, incluyendo organismos de certificación, para evaluar la capacidad de una organización para administrar riesgos de su ac-tividad y para implementar y mejorar en forma continua un sistema que le permite mantener-los bajo control y cumpliendo las restricciones y requisitos de todas las partes interesadas in-cluyendo, reglamentaciones y criterios propios de la organización. Gestionar riesgos significa administrarlos para lograr un balance apropiado, maximizando las oportunidades de obtener beneficios y minimi-zando los impactos adversos (daños y perjuicios). Es una parte integral de una buena

práctica gerencial y un elemento esencial de buen gobierno corporativo. La gestión de riesgos es un proceso iterativo que permite la mejora continua del proceso de toma de decisiones y facilita a las organizacio-nes mejorar su desempeño, aumentando la probabilidad de arribar a los objetivos propues-tos en forma consistente. Gestionar riesgos implica establecer una in-fraestructura y cultura apropiada y aplicar un método lógico y sistemático para establecer el contexto: identificar, analizar, evaluar, tratar, supervisar y comunicar riesgos asociados con cualquier actividad, función o proceso de forma tal que permita a las organizaciones minimizar pérdidas, daños y perjuicios y maximizar bene-ficios. Para ser eficaz, la gestión de riesgos debe for-mar parte de la cultura de la organización. Es decir, debe estar incorporada en la filosofía, las prácticas y los procesos de negocio, más que ser vista o practicada como una actividad sepa-rada. Cuando se logra esto, los integrantes y terceros, dentro de la organización pasan a es-tar involucrados en la gestión de riesgos. La premisa subyacente en la gestión de riesgos es que cada organización -con o sin fines de lucro- del ámbito privado o gubernamental, fun-ciona con el fin de proveer valor a las personas, grupos u organizaciones que puedan tener al-gún interés o ser consideradas partes interesadas. Toda organización se enfrenta a situaciones de incertidumbre. El desafío es evaluarlas y de-terminar el grado de incertidumbre que la organización está dispuesta a aceptar. La incertidumbre representa tanto amenazas (peligros de pérdidas, daños y perjuicios) como

7


oportunidades, con el potencial de disminuir o enriquecer el valor de la actividad. La gestión de riesgos de la organización provee una es-tructura conceptual para que la gestión conviva de manera racional con la incertidumbre y con los riesgos y oportunidades asociados, lo cual enriquece su capacidad para generar valor. La gestión de riesgos es una disciplina de rápida evolución en la que pueden encontrarse diferen-tes criterios sobre qué elementos incluye, cómo debe ser conducida y, fundamentalmente, para qué sirve. En este sentido, en el marco de la norma se encuentran los lineamientos sobre: los objetivos de la gestión de riesgos;

la terminología relacionada;

los procesos mediante los cuales debe

realizarse la gestión de riesgos. Esta norma presenta los requisitos para certifi-car un sistema de gestión de riesgos (SGR) y se recomienda que se utilice En conjunto con la IRAM 17550 Sistema de gestión de riesgos - Directivas generales, para el desarrollo e im-plementación de un SGR consistente. 0.2 Enfoque basado en procesos

Esta norma promueve la adopción del enfoque basado en procesos para establecer, imple-mentar, operar, realizar el seguimiento, mantener y mejorar la eficacia de un SGR en una organización. La presente norma adopta la siguiente defini-ción de la IRAM-ISO 9000:2000: “Para que las organizaciones operen de manera eficaz, tie-nen que identificar y gestionar numerosos procesos interrelacionados y que interactúan. A menudo el resultado de un proceso constituye directamente el elemento de entrada del si-guiente proceso. La identificación y gestión sistemática de los procesos empleados en la organización y en particular las interacciones entre tales procesos se conocen como enfoque basado en procesos.

Una ventaja del enfoque basado en procesos es el control continuo que proporciona sobre la interrelación entre los procesos individuales dentro del sistema de procesos, así como sobre su combinación e interacción. El enfoque basado en procesos incentiva a los usuarios a enfatizar la importancia de: a) comprender los requisitos del SGR de la

organización y la necesidad de establecer políticas, procedimientos y objetivos para éste;

b) implementar y operar actividades de con-

trol dentro del marco de la gestión de riesgos de la organización en forma com-pleta;

c) realizar el seguimiento, revisar el desem-

peño y la eficacia del SGR; d) implementar la mejora continua basada en

mediciones objetivas. Esta norma adopta el marco metodológico Pla-nificar-Hacer-Verificar-Actuar (PHVA), aplicado a los procesos del SGR del modo siguiente: Planificar: establecer los objetivos y procesos necesarios para conseguir un efectivo SGR de acuerdo con las políticas y objetivos de la or-ganización. Hacer: implementar los procesos del sistema de gestión de riesgos. Verificar: realizar el seguimiento y la evaluación de los procesos respecto de las políticas, obje-tivos y requisitos del SGR, e informar sobre los resultados. Actuar: tomar acciones para mejorar continua-mente el desempeño de los procesos.

8


Figura 1 – Modelo de un sistema de gestión de riesgos (SGR) basado en procesos 0.3 Compatibilidad con otros sistemas de gestión

Esta norma está diseñada para permitir a una organización alinear o integrar su SGR con los requisitos de otros sistemas de gestión.

1 OBJETO Y CAMPO DE APLICACIÓN 1.1 Generalidades

Esta norma establece los requisitos para desarrollar, implementar, operar, controlar, revisar, mantener y mejorar un SGR. En particular, establece los requisitos y recomendaciones para demostrar la capacidad del sistema para gestionar los riesgos. Es genérica e independiente de cualquier industria o sector económico específico.

Esta norma define las actividades necesarias para llevar a cabo el proceso de evaluación del SGR. La norma IRAM 17551 puede ser utilizada por: el responsable del sistema de SGR dentro

de una organización, para verificar que se cumplen los requisitos del SGR,

la dirección de la organización, para efec-tuar sus revisiones periódicas necesarias,

el responsable de controlar auditar o verifi-car la correcta aplicación de un SGR, para evaluar que se satisfacen los requisitos de esta norma,

otras partes interesadas en la evaluación del SGR.

1.2 Conformidad

Todos los requisitos de esta norma son genéri-cos y se pretende que sean aplicables a todas

9


las organizaciones sin importar su tipo, tamaño y naturaleza. No es aceptable la exclusión de ninguno de los requisitos especificados en los capítulos 4, 5, 6 y 8 cuando una organización declara conformi-dad con la presente norma. Las exclusiones quedan restringidas al capítulo 7 y deben estar justificadas. Es necesario que se suministre evidencia de que los riesgos asociados han si-do aceptados apropiadamente por las personas responsables. Dichas exclusiones no deben afectar la capacidad de la organización ni su responsabilidad para gestionar los riesgos y cumplir con las leyes o requisitos reglamenta-rios aplicables. La metodología de evaluación de conformidad recomendada por esta norma es la descripta en la norma IRAM-ISO 19011 “Directrices para la auditoría de los sistemas de gestión de la calidad y/o ambiental.”

2 DOCUMENTOS NORMATIVOS PARA CONSULTA Los documentos normativos que se indican a continuación son indispensables para la aplica-ción de este documento. Para los documentos normativos en los que se indica el año de publicación, se aplican las edi-ciones citadas. Para los documentos normativos en los que no se indica el año de publicación, se aplican las ediciones vigentes, incluyendo todas sus modi-ficaciones. IRAM 17550 - Sistema de gestión de riesgos. Directivas generales. IRAM-ISO 19011 - Directrices para la auditoría de los sistemas de gestión de la calidad y/o ambiental. ISO/IEC Guide 73 - Risk management. Vocabu-lary - Guidelines for use in standards.

3 TÉRMINOS Y DEFINICIONES A los fines de esta norma, se aplican las defini-ciones dadas en la IRAM 17550, y en la ISO/IEC Guide 73 (ver anexo A).

4 SISTEMA DE GESTIÓN DE RIESGOS 4.1 Requisitos generales

La organización debe establecer, documentar, implementar y mantener un SGR y mejorar continuamente su eficacia de acuerdo con los requisitos de esta norma. La organización debe: a) identificar los procesos organizacionales

dentro de los cuales se deben gestionar riesgos en el alcance del SGR,

b) determinar la secuencia de interacción de estos procesos,

c) documentar el proceso de gestión de ries-gos utilizado por la organización, incluyendo la forma en que la organización establece el contexto, identifica, analiza, evalúa y trata los riesgos, supervisa, revisa, y consulta.

d) determinar los criterios y los métodos nece-sarios para asegurar que tanto la operación como el control de estos procesos son efi-caces;

e) asegurar la disponibilidad de recursos e in-formación necesarios para apoyar la operación y el seguimiento de estos proce-sos,

f) realizar el seguimiento, la medición y el aná-lisis de estos procesos, e

g) implementar las acciones necesarias para alcanzar los resultados planificados y la me-jora continua de estos procesos.

10


En los casos en que la organización opte por contratar externamente cualquier proceso que afecte la gestión de riesgos (transferencia de riesgos), la organización debe asegurar que se gestionan los riesgos dentro de tales procesos. La gestión de riesgos sobre dichos procesos contratados externamente debe estar identificada dentro del SGR. NOTA 1. Es conveniente que los procesos necesarios para el SGR a los que se ha hecho referencia anteriormente incluyan que los procesos para las actividades de gestión, la provisión de recursos, la evaluación de los resultados de la gestión de riesgos y las mediciones. NOTA 2: Para asegurar que se gestionan los riesgos en los procesos tercerizados, se puede contemplar la alternativa de respaldarse en un SGR implementado por la tercera parte. 4.2 Requisitos de la documentación

4.2.1 Generalidades La documentación del SGR debe incluir: a) declaraciones documentadas de la política

de gestión de riesgos (ver apartado 5.3) y de los objetivos de control;

b) la declaración de aplicabilidad (si algún re-quisito no es aplicable para la organización).

c) el alcance del SGR (ver 4.1a) y la descrip-ción del proceso de gestión de riesgos, que debe estar acorde a lo indicado en la IRAM 17550;

d) los procedimientos y controles de apoyo del SGR, incluyendo los procedimientos docu-mentados necesarios para que la organización asegure la planificación efecti-va, la operación y el control eficaz del proceso de gestión de riesgos (ver 4.1);

e) el informe de evaluación de riesgos [ver 7.1.2 c) a 7.1.2 g)];

f) los planes de tratamiento de riesgos [ver 7.1.2 c)];

g) los registros requeridos por esta norma (ver 4.2.4);

NOTA 1. El término "procedimiento documentado" que aparece en esta norma, significa que el procedimiento esta establecido, documentado, implementado y es mantenido.

NOTA 2. La documentación y los registros pueden estar en cualquier formato o tipo de medio. 4.2.2 Manual del sistema de gestión de riesgos Se recomienda la conformación de un manual del SGR que contenga la documentación del SGR referenciada en el requisitos 4.2.1, o bien que la refiera. 4.2.3 Control de documentos Los documentos requeridos por el SGR deben estar protegidos y controlados. Para tal fin, la organización debe establecer un procedimiento documentado para definir e implementar las acciones de gestión necesarias para: a) aprobar los documentos en cuanto a su

adecuación, en forma previa a su emisión y distribución;

b) revisar y actualizar los documentos cuando sea necesario, y aprobarlos nuevamente;

c) asegurar que los cambios y el estado de revisión actual de los documentos son identificados;

d) asegurar que las versiones pertinentes de los documentos aplicables están disponi-bles en los puntos de uso;

e) asegurar que los documentos se manten-gan legibles y fácilmente identificables;

f) asegurar que los documentos de origen ex-terno estén identificados;

g) asegurar que se controla la distribución, tanto para los documentos externos o in-ternos de la organización;

h) prevenir el uso no intencionado de docu-mentos obsoletos;

i) identificar adecuadamente los documentos obsoletos.

4.2.4 Control de los registros Se deben establecer, proteger, controlar y mantener registros para proporcionar evidencia de conformidad con los requisitos, así como de la operación eficaz del SGR.

11


Los registros deben permanecer legibles, fácilmente identificables y recuperables. Para tal fin, la organización debe establecer un procedimiento documentado para definir e implementar los controles necesarios para la identificación, el almacenamiento, la protección, la recuperación, el tiempo de retención y la disposición final de los registros. La organización debe definir y mantener los registros para brindar evidencia del desempeño de los procesos del SGR y de todos los incidentes significativos del mismo.

5 RESPONSABILIDAD DE LA DIRECCIÓN 5.1 Compromiso de la dirección

La alta dirección debe proporcionar evidencias de su compromiso en el establecimiento, im-plementación, mantenimiento y la mejora continua del SGR mediante: a) el establecimiento de una política de ges-

tión de riesgos;

b) el establecimiento de objetivos y planes de la gestión de riesgos, alineados a los obje-tivos estratégicos ;

c) el establecimiento de roles y responsabili-dades para la gestión de riesgos ;

d) la comunicación a la organización de la importancia de cumplir con los objetivos de gestión de riesgos y de considerar las polí-ticas de gestión de riesgos, sus responsabilidades legales y la necesidad de la mejora continua;

e) la provisión de recursos adecuados y sufi-cientes para desarrollar, implementar, operar y mantener el SGR (ver capítulo 6);

f) la definición de los criterios para determi-nar el nivel aceptable de riesgo, teniendo en cuenta las leyes, reglamentaciones aplicables y regulaciones específicas de la actividad;

g) la revisión por la dirección del SGR a in-tervalos definidos, para asegurar la continua idoneidad y la eficacia del mismo (ver capítulo 5.6).

h) la revisión por la dirección debe asegurar que se mantienen los registros por el tiem-po establecido y en cumplimiento con los requisitos legales y reglamentarios.

5.2 Enfoque hacia las partes interesadas

La alta dirección debe asegurar que se determinan los intereses de las partes interesadas (internas o externas) y se tienen en cuenta con el propósito de maximizar los beneficios de la organización minimizando los impactos negativos de su accionar. La alta dirección debe asegurar que se identifican los requisitos vinculados a la gestión de riesgo de las partes interesadas y los requisitos legales, reglamentarios y regulaciones específicas de la actividad relacionados con su accionar y son considerados dentro del SGR. 5.3 Política de gestión de riesgos

La alta dirección debe asegurar que la política de gestión de riesgos incluye la información recomendada en el apartado 4.3.3. de la IRAM 17550, y que además: a) sea adecuada al propósito de la organiza-

ción,

b) proporcione un marco de referencia para es-tablecer y revisar los objetivos de la gestión de riesgos,

c) sea comunicada y entendida dentro de la organización, y

d) se revise periódicamente para asegurar su continua adecuación.

5.4 Planificación

5.4.1 Objetivos de la gestión de riesgos La alta dirección debe asegurar que se establecen los objetivos de la gestión de riesgos, incluyendo aquellos necesarios para cumplir los requisitos legales y reglamentarios y de las

12


partes interesadas, en las funciones y niveles pertinentes. Los objetivos de la gestión de riesgos deben ser medibles y coherentes con la política de gestión de riesgos. 5.4.2 Planificación del sistema de gestión de riesgos La alta dirección debe asegurar que: a) la planificación del SGR se realiza con el fin

de cumplir los requisitos citados en 4.1, así como los objetivos de gestión de riesgos, y

b) se mantiene la integridad del SGR cuando se planifican e implementan cambios en és-te.

5.5 Responsabilidad, autoridad y comunicación

5.5.1 Responsabilidad y autoridad La alta dirección debe asegurar que las responsabilidades y autoridades están definidas y son comunicadas dentro de la organización. 5.5.2 Representante de la dirección La alta dirección debe designar un miembro de la dirección quien, con independencia de otras responsabilidades debe tener la responsabilidad y autoridad que incluya: a) asegurar que se establecen, implementan y

mantienen los procesos necesarios para el SGR,

b) informar a la alta dirección sobre el desem-peño del SGR y de cualquier necesidad de mejora, y

c) asegurar que se promueve la toma de con-ciencia de los requisitos legales y reglamentarios y de las partes interesadas en todos los niveles de la organización

NOTA. La responsabilidad del representante de la dirección puede incluir relaciones con partes externas sobre asuntos relacionados con el SGR. 5.5.3 Comunicación interna

La alta dirección debe asegurarse de que se establecen los procesos de comunicación apropiados dentro de la organización y de que la comunicación se efectúa considerando la eficacia del SGR. 5.6 Revisión por la dirección

5.6.1 Generalidades La alta dirección debe, a intervalos planificados, revisar el SGR de la organización para asegurarse de su conveniencia, adecuación y eficacia continuas. La revisión debe incluir la evaluación de las oportunidades de mejora y la necesidad de efectuar cambios en el SGR incluyendo la política de gestión de riesgos y los objetivos de la gestión de riesgos. Deben mantenerse registros de las revisiones del SGR efectuadas por la dirección (ver apartado 4.2.4.). 5.6.2 Información para la revisión La información de entrada para la revisión por la dirección debe incluir, como mínimo: a) los resultados de auditorías de cumplimiento

de los requisitos de la presente norma,

b) la retroalimentación de partes interesadas,

c) el desempeño de los procesos de gestión de riesgos y los eventos adversos (pérdidas, daños y perjuicios),

d) el estado de las acciones correctivas y pre-ventivas,

e) las acciones de seguimiento de revisiones por la dirección previas,

f) los cambios que podrían afectar al SGR, y

g) las recomendaciones para la mejora. 5.6.3 Resultados de la revisión Los resultados de la revisión por la dirección deben incluir todas las decisiones y acciones relacionadas con: a) la mejora de la eficacia del SGR y sus pro-

cesos;

b) las necesidades de recursos.

13


6 GESTIÓN DE LOS RECURSOS 6.1 Provisión de los recursos

La organización debe determinar y proporcionar los recursos necesarios para: a) implementar y mantener el SGR y mejorar

continuamente su eficacia, y

b) aumentar la eficacia de los procesos de ges-tión de riesgos.

6.2 Recursos humanos

6.2.1 Generalidades El personal que realice trabajos que afecten a la gestión de riesgos debe ser competente con base en la educación, formación, habilidades y experiencia apropiadas. 6.2.2 Competencia, toma de conciencia y formación La organización debe: a) determinar la competencia necesaria para el

personal que realiza trabajos que afecten a la gestión de riesgos;

b) proporcionar formación o tomar otras accio-nes para satisfacer dichas necesidades;

c) evaluar la eficacia de las acciones tomadas;

d) asegurarse de que su personal es conscien-te de la pertinencia e importancia de sus actividades y de cómo contribuyen al logro de los objetivos de la gestión de riesgos, y

e) mantener los registros apropiados de la edu-cación, formación, habilidades y experiencia (ver 4.2.4).

6.3 Infraestructura

La organización debe determinar, proporcionar y mantener la infraestructura necesaria para lograr los objetivos del SGR. La infraestructura incluye, cuando sea aplicable: a) El espacio de trabajo y los servicios asocia-dos;

b) los equipos para los procesos (tanto hardware como software), y

c) los servicios de apoyo (tales como transpor-te o comunicación).

7 REALIZACIÓN DEL PROCESO DE GESTIÓN DE RIESGOS El proceso de gestión de riesgos debe implementarse acorde al modelo establecido en la norma IRAM 17550 (ver las figuras del Anexo B). 7.1 Procesos de gestión de riesgos

7.1.1 Generalidades En este capítulo se da una breve visión general del proceso de gestión de riesgos. Cada paso del proceso de gestión de riesgos está definido con mayor detalle en el capítulo 6 de la IRAM 17550. La gestión de riesgos es una parte integrante del proceso de gestión. La gestión de riesgos es un proceso multifacético, por lo que las tareas invo-lucradas son a menudo llevadas a cabo por un equipo multidisciplinario. Es un proceso de mejo-ra continua, cuya incorporación en las prácticas o procesos de negocio existentes resulta benefi-ciosa. Puede ser aplicada a todos los niveles de una organización: a nivel estratégico y a niveles tácti-cos y operacionales. También puede ser aplica-da a proyectos específicos, para sustentar decisiones específicas o para administrar áreas específicas de riesgo reconocidas. Para cada etapa del proceso se recomiendan que se man-tengan registros adecuados, suficientes como para satisfacer a una auditoría independiente. 7.1.2 Elementos principales Los elementos principales del proceso de gestión de riesgos, como se pueden ver en las figu-ras del Anexo B, son los siguientes: a) Establecimiento del contexto: se estable-

ce los contextos estratégico, organizacional

14


y de gestión de riesgos en los cuales tendrá lugar el resto de los procesos. Deben esta-blecerse los criterios en función de los cuales se evaluarán los riesgos y definirse la estructura del análisis.

b) Identificación de riesgos: se identifica qué,

por qué, dónde, cuándo y cómo los eventos podrían afectar (impedir, degradar, demorar o facilitar) el logro de los objetivos estratégi-cos y operativos de la organización.

c) Análisis de riesgos: se determinan los con-

troles existentes y se analizan los riesgos en términos de consecuencia y probabilidad en el contexto de tales controles. Se recomien-da que el análisis considere la totalidad de consecuencias potenciales y la probabilidad de que esas consecuencias puedan ocurrir. Consecuencia y probabilidad se podrían combinar para producir un nivel estimado de riesgo.

d) Valoración de riesgos: se comparan los

niveles estimados respecto de los criterios preestablecidos y considerar el balance en-tre beneficios potenciales y resultados adversos. Esto posibilita que se ordenen los riesgos como para identificar las prioridades de gestión. Si los niveles de riesgo estable-cidos son bajos podría caer en una categoría aceptable y no se requeriría tra-tamiento.

e) Tratamiento de riesgos: desarrollar e im-

plementar estrategias y planes de acción específicos costo-beneficio para aumentar los beneficios potenciales y reducir los cos-tos potenciales, en base al análisis y valoración de riesgos (puntos c y d), si es que de dicho análisis surgiera la necesidad. Si los niveles de riesgo establecidos son ba-jos y son tolerables entonces no se requiere tratamiento.

f) Supervisión y revisión: se supervisa y re-

visa el desempeño del SGR y procura detectar cambios que pudieran afectar la adecuación o la relación costo-beneficio de los controles.

g) Comunicación y consulta: se comunica y

se consulta a los interesados internos y ex-

ternos según resulte apropiado en cada etapa del proceso de gestión de riesgos, in-terpretando al proceso como un todo.

h) Evaluación de riesgos: proceso global de

identificar riesgos, analizar riesgos y valo-rar riesgos. [ISO/IEC Guide 73:2002] [ISO/IEC 17799:2005]

i) Documentación y registro: registrar en

forma adecuada cada etapa del proceso de gestión de riesgos. Documentar las hipóte-sis, métodos, fuentes de datos, análisis, resultados y razones para las decisiones. [IRAM 17550]

7.1.3 Planificación continua del proceso de gestión de riesgos La organización debe planificar y controlar el proceso de gestión de riesgos en forma periódica. Durante la planificación del proceso de gestión de riesgos la organización debe determinar: a) las etapas del proceso de gestión de riesgos

b) la revisión, verificación y validación, apro-piadas para cada etapa, y

c) las responsabilidades y autoridades para el proceso de gestión de riesgos

La organización debe gestionar las interfaces entre los diferentes grupos involucrados en el proceso de gestión de riesgos para asegurar la comunicación eficaz y una clara asignación de responsabilidades. Los resultados de la planificación deben actualizarse, según sea apropiado, a medida que progresa el proceso de gestión de riesgos. 7.1.4 Elementos de entrada para al proceso de gestión de riesgos Deben determinarse los elementos de entrada relacionados con los requisitos del proceso de gestión de riesgos y mantenerse registros (ver 4.2.4). Estos elementos de entrada deben incluir:

15


a) los requisitos legales, reglamentarios y regu-laciones específicas de la actividad aplicables

b) la información proveniente de procesos de gestión de riesgos previos similares, cuando sea aplicable, y

c) cualquier otro requisito esencial para el pro-ceso de gestión de riesgos

7.1.5 Resultados del proceso de gestión de riesgos Los resultados del proceso de gestión de ries-gos deben proporcionarse de tal manera que permitan la verificación respecto a los elemen-tos de entrada y deben aprobarse antes de su liberación. Los resultados del proceso de gestión de riesgos deben: a) cumplir los requisitos de los elementos de

entrada

b) proporcionar información apropiada para los procesos relacionados

c) contener o hacer referencia a los criterios de control de riesgos, y

d) especificar los objetivos mínimos para que los resultados sean considerados acepta-bles.

7.1.6 Revisión del proceso de gestión de riesgos En las etapas adecuadas deben realizarse revisiones sistemáticas del proceso de gestión de riesgos de acuerdo con lo planificado (ver 7.1.3). Para este fin se debe: a) evaluar la capacidad de los resultados para

cumplir los requisitos, e

b) identificar cualquier problema y proponer acciones necesarias

Los participantes en dichas revisiones deben incluir representantes de las funciones rela-cionadas con la(s) etapa(s) del proceso de gestión de riesgos que se está(n) revisando,

deben mantenerse registros de lo resultados de las revisiones y de cualquier acción necesaria (ver 4.2.4). 7.1.7 Verificación del proceso de gestión de riesgos Se debe realizar la verificación, de acuerdo con lo planificado (ver 7.1.3), para asegurar que los resultados del proceso de gestión de riesgos cumplan los requisitos de los elementos de entrada. Deben mantenerse registros de los resultados de las revisiones y de cualquier acción necesaria (ver 4.2.4). 7.1.8 Validación del proceso de gestión de riesgos Se debe realizar la validación del proceso de gestión de riesgos de acuerdo con lo planificado (ver 7.1.3) para asegurar que los resultados satisfagan los requisitos para su aplicación específica. Siempre que sea factible, la validación debe completarse antes de la puesta en marcha del proceso de gestión de riesgos. Deben mantenerse registros de los resultados de la validación y de cualquier acción que sea necesaria (ver 4.2.4). 7.1.9 Control de los cambios del proceso de gestión de riesgos Los cambios del proceso de gestión de riesgos deben identificarse y deben mantenerse registros. Los cambios deben revisarse, veri-ficarse, validarse, según sea apropiado, y aprobarse antes de su implementación. La revisión de los cambios del proceso de gestión de riesgos debe incluir la evaluación del efecto de los cambios en los resultados. Deben mantenerse registros de los resultados de la revisión de los cambios y de cualquier acción que sea necesaria (ver 4.2.4). 7.2 Procesos de gestión de riesgos relacionados con terceras partes

Transferencia del riesgo La organización debe evaluar y seleccionar a los proveedores que reciben o comparten los riesgos transferidos por la organización en

16


función de su capacidad de cumplimiento. Deben establecerse los criterios para la selección, la evaluación y la reevaluación de estos pro-veedores. Deben mantenerse los registros de los resultados de las evaluaciones y de cualquier acción necesaria que se derive de éstas.

8 EVALUACIÓN, ANÁLISIS Y MEJORA 8.1 Generalidades

La organización debe planificar e implementar los procesos de seguimiento, evaluación, análisis y mejora necesarios para: a) demostrar la eficacia de los procesos de

gestión de riesgos;

b) asegurar la conformidad del SGR,

c) mejorar continuamente la eficacia del SGR, y

d) determinar los métodos aplicables, inclu-yendo, las técnicas estadísticas, y el alcance de su utilización.

8.1.1 Auditoría interna del SGR La organización debe llevar a cabo auditorías internas del SGR a intervalos planificados para determinar si los objetivos de control, los controles, los procesos y los procedimientos: a) satisfacen los requisitos de esta norma, y los

requisitos legales y reglamentarios, y las re-gulaciones específicas del sector relacionados;

b) satisfacen los requisitos de la gestión de riesgos identificados;

c) están eficazmente desarrollados, implemen-tados y mantenidos.

Se debe planificar un programa de auditoría, teniendo en consideración el estado y la importancia de los procesos y las áreas a auditar, así como los resultados de las auditorías previas. Se deben definir los criterios de auditoría, su alcance, la frecuencia y el método. La selección de auditores y la realización de auditorías deben asegurar la objetividad e

imparcialidad del proceso de auditoría. Los auditores no deben auditar su propia tarea. Se debe definir un procedimiento documentado para establecer las responsabilidades, los requisitos para la planificación y realización de auditorías, informar sobre sus resultados y mantener registros de la actividad efectuada (ver 4.2.4). La dirección responsable del área que está siendo auditada debe asegurarse de que se tomen acciones sin demora injustificada para eliminar las no conformidades detectadas y sus causas. Las actividades de seguimiento deben incluir la verificación de las acciones tomadas y el informe de los resultados de la verificación. NOTA. Se recomienda utilizar la metodología establecida en la Norma IRAM-ISO 19011 Directrices para la auditoría de los sistemas de gestión de la calidad y/o ambiental, pa-ra realizar auditorias internas del SGR. 8.1.2 Seguimiento y evaluación del proceso de gestión de riesgos La organización debe aplicar métodos apropiados para el seguimiento, y cuando sea aplicable, la evaluación de los procesos del SGR. Estos métodos deben demostrar la capacidad de los procesos para alcanzar los resultados planificados. Cuando no se alcancen los resultados planificados, deben llevarse a cabo correcciones y acciones correctivas, según sea conveniente, para asegurar el cumplimiento de los objetivos de gestión de riesgos correspondientes. 8.1.3 Seguimiento y evaluación de los resultados de los procesos de gestión de riesgos La organización debe evaluar y hacer un seguimiento los resultados de los procesos de gestión de riesgos para verificar que se cumplen sus requisitos. Esto debe realizarse en las etapas apropiadas de los procesos de gestión de riesgos de acuerdo con las disposiciones planificadas (ver 7.1.3). Debe mantenerse evidencia de la conformidad con los criterios y requisitos de la gestión de riesgos. Los registros deben indicar la(s)

17


persona(s) responsable de dicha verificación (ver 4.2.4). 8.2 Gestión de las no conformidades del sistema y de los episodios adversos

La organización debe asegurarse de que se identifican y analizan las no conformidades del sistema, episodios adversos, pérdidas, daños y perjuicios, y se realizan las acciones necesarias para mitigar o limitar sus consecuencias. Los controles, las responsabilidades y autoridades relacionadas con el tratamiento de dichos episodios deben estar definidos en un procedimiento documentado. La organización debe tratar las no conformidades de sistema, episodios adversos mediante una o más de las siguientes maneras: a) tomando acciones para eliminar o mitigar

sus consecuencias; b) tomando acciones para impedir su repeti-

ción, c) retroalimentar la información en el corres-

pondiente proceso de gestión de riesgos como oportunidades de mejora.

Se deben mantener registros (ver 4.2.4) de la naturaleza de las no conformidades de sistema, episodios adversos y de cualquier acción tomada posteriormente. 8.3 Análisis de datos

La organización debe determinar, recopilar y analizar los datos apropiados para demostrar la idoneidad y la eficacia del SGR y para evaluar dónde puede realizarse la mejora continua de la eficacia del SGR. Esto debe incluir los datos generados de los resultados del seguimiento, evaluación y de cualesquiera otras fuentes pertinentes. El análisis de datos debe proporcionar información sobre: a) la conformidad con los requisitos del SGR,

b) las características y tendencias del sistema y sus resultados, incluyendo las oportunida-

des para llevar a cabo acciones preventivas, y

c) la gestión de los proveedores que reciben o comparten los riesgos transferidos por la or-ganización.

8.4 Mejora del SGR

8.4.1 Mejora continua La organización debe mejorar continuamente la eficacia del SGR mediante el uso de la política de gestión de riesgos, los objetivos del SGR, los resultados de las auditorías, el análisis de datos (ver 8.3), las acciones correctivas y preventivas, y la revisión por la dirección. 8.4.2 Acciones correctivas La organización debe tomar acciones para eliminar las causas de no conformidades del SGR, episodios adversos, pérdidas, daños y perjuicios o en su defecto introducir medidas de control de riesgos adicionales con objeto de prevenir que vuelvan a ocurrir. Las acciones correctivas deben ser apropiadas a los efectos de las no conformidades de sistema, episodios adversos, pérdidas, daños y perjuicios encon-tradas. Se debe establecer un procedimiento documentado para definir los requisitos para: a) revisar las no conformidades de sistema,

episodios adversos, pérdidas, daños y per-juicios;

b) determinar sus causas;

c) evaluar la necesidad de adoptar acciones para asegurarse de que no vuelvan a ocu-rrir;

d) determinar e implementar las acciones ne-cesarias;

e) registrar los resultados de las acciones to-madas (ver 4.2.4); y

f) revisar las acciones correctivas tomadas. 8.4.3 Acciones preventivas

18


La organización debe determinar acciones para eliminar las causas de no conformidades de sistema, episodios adversos, pérdidas, daños y perjuicios potenciales para prevenir su ocu-rrencia o ante su imposibilidad mitigar sus consecuencias. Las acciones preventivas deben ser apropiadas a los efectos de los problemas potenciales. Se debe establecer un procedimiento docu-mentado para definir los requisitos para: a) determinar las no conformidades de siste-

ma, episodios adversos, pérdidas, daños y perjuicios potenciales y sus causas;

b) evaluar la necesidad de actuar para prevenir su ocurrencia;

c) determinar e implementar las acciones ne-cesarias;

d) registrar los resultados de las acciones to-madas (ver 4.2.4); y

e) revisar las acciones preventivas tomadas. Se debe determinar la prioridad en las acciones preventivas sobre la base de los resultados de la valoración de los riesgos. NOTA. Las acciones para prevenir no conformidades son a menudo más eficientes en sus costos que las acciones correctivas.

19


Anexo A (Informativo)

Definiciones tomadas de otras normas

Las siguientes definiciones proceden de la norma IRAM 17550. A.1 consecuencia. Hecho o acontecimiento que sigue o resulta de otro o de un evento (A.4). NOTA 1. Puede haber más de una consecuencia de un mismo evento. NOTA 2. Las consecuencias pueden estar en el rango de positivas a negativas. NOTA 3. Las consecuencias se pueden expresar cualitativa o cuantitativamente. NOTA 4. Las consecuencias se determinan en relación con el logro de objetivos. A.2 auto-evaluación de control (C.S.A. – Control Self Assessment). Revisión periódica y siste-mática de los procesos de negocio para asegurar que el control del riesgo (3.15) es aún eficaz y apropiado. A.3 costo. Cualquier impacto negativo, ya sea directo o indirecto, incluyendo pérdidas de dinero, de tiempo o de mano de obra, por interrupciones de imagen organizacional, políticas e intangibles. A.4 evento. Hecho imprevisto, o que puede suceder. NOTA 1. El evento puede ser cierto o incierto. NOTA 2. El evento puede ser una ocurrencia única o una serie de ocurrencias. A.5 peligro. Amenaza o contingencia inminente de que suceda algún mal. A.6 pérdida. Cantidad o cosa perdida. Cualquier consecuencia negativa (3.1), económica, financie-ra o de otro tipo. A.7 supervisar. Verificar, realizar el seguimiento, observar críticamente o medir el progreso de una actividad, acción o sistema, en forma regular para identificar cambios respecto del nivel de desempe-ño requerido o esperado. A.8 organización. Grupo de personas e instalaciones con un ordenamiento de responsabilidades, autoridades y relaciones. NOTA 1. Una organización puede ser pública o privada. NOTA 2. Esta definición es válida para los propósitos de las normas de sistemas de la gestión de calidad. El término orga-nización es definido en forma diferente en la ISO/IEC Guide 2. A.9 probabilidad. Intervalo dentro del cual es probable que ocurra un evento (A.4). NOTA 1. La IRAM 34552-1 da la definición matemática de probabilidad como un número real dentro del intervalo 0 a 1 aso-ciado a un suceso de azar. Éste puede ser relacionado con la frecuencia relativa de ocurrencia en el largo plazo o al grado de convicción de que ocurrirá un evento. Para un alto grado de credibilidad, la probabilidad es cercana a 1. NOTA 2. Se puede utilizar frecuencia más que probabilidad en la descripción de un riesgo.

20


NOTA 3. Los grados de credibilidad acerca de la probabilidad se pueden escoger como clases o ámbitos, tales como: − −

raro / improbable / moderado / probable / casi certeza, o improbable / remoto / ocasional / probable / frecuente.

A.10 riesgo residual. El nivel de riesgo restante (3.11) luego del tratamiento del riesgo (3.26). A.11 riesgo. Contingencia o proximidad de que suceda algo que tendrá un impacto en los objetivos. Se lo mide en términos de una combinación de la probabilidad (A.9) de un evento (A.4) y su con-secuencia (A.1). NOTA. Para aspectos relacionados con seguridad ver la ISO/IEC Guide 51. A.12 análisis de riesgos. Uso sistemático de la información disponible para determinar cuán fre-cuentemente pueden ocurrir eventos determinados y la magnitud de las consecuencias, para establecer el nivel de riesgo. A.13 proceso de evaluación de riesgos. Proceso general de identificación, análisis y evaluación del riesgo (ver figura 1). A.14 evitar un riesgo. Una decisión informada de no verse involucrado, o una acción de retiro de una situación de riesgo. A.15 control de riesgos. La parte de la gestión de riesgos que involucra la provisión de políticas, normas y procedimientos para mitigar los riesgos adversos. A.16 criterios de riesgo. Principios u otras reglas de decisión mediante las cuales se evalúa la im-portancia de los riesgos para determinar si se recomiendan acciones de tratamiento para ellos. NOTA: Los criterios de riesgo pueden incluir costos y beneficios asociados, requerimientos legales y estatutarios, aspectos socioeconómicos y ambientales, las preocupaciones de los interesados (3.28), prioridades y otros aspectos de la evalua-ción. A.17 evaluación de riesgos. Proceso de comparación del riesgo estimado contra criterios de riesgo dados para asistir en la decisión de tolerar o tratar un riesgo. NOTA. Para la evaluación de riesgos en el contexto de seguridad, ver ISO/IEC Guide 51. A.18 financiamiento de riesgos. Métodos aplicados para afrontar el tratamiento de riesgos (poner en vigencia estructuras e instrumentos) y las consecuencias económicas o financieras negativas. A.19 identificación de riesgos. Proceso para determinar qué puede suceder, dónde, cuándo, por qué y cómo. A.20 gestión de riesgos. Cultura, procesos y estructuras que están dirigidos hacia la gestión eficaz de oportunidades y efectos adversos potenciales. A.21 proceso de gestión de riesgos. Aplicación sistemática de políticas, procedimientos y prácti-cas de gestión a las tareas de, establecer el contexto, identificar, analizar, estimar, evaluar, tratar, supervisar y comunicar el riesgo. A.22 sistema de gestión de riesgos. Conjunto de elementos del sistema de gestión de una orga-nización concerniente a la gestión de riesgos.

21


NOTA 1. Los elementos del sistema de gestión pueden incluir planeamiento estratégico, toma de decisiones y otros proce-sos para tratar los riesgos. NOTA 2. La cultura de una organización se ve reflejada en su SGR. A.23 reducción de riesgos. Aplicación selectiva de técnicas apropiadas y principios de gestión apli-cados para disminuir la probabilidad, las consecuencias negativas, o ambas, asociadas a un riesgo. A.24 aceptación o retención de riesgos. Aceptación de la carga de la pérdida, o del beneficio a ganar, de un riesgo en particular. NOTA 1. Retención del riesgo incluye la aceptación de riesgos que no han sido identificados. NOTA 2. Retención del riesgo no incluye tratamientos que involucran seguros, o transferencia por otros medios. NOTA 3. Puede haber variabilidad en el grado de aceptación y dependencia de los criterios de riesgo. A.25 transferencia de riesgos. Cambiar la responsabilidad o compartir con otra parte la carga de la pérdida o el beneficio de la ganancia relacionada a un riesgo. NOTA 1. Requerimientos legales o estatutarios pueden limitar, prohibir u obligar a la transferencia de algunos riesgos. NOTA 2. La transferencia de riesgos puede llevarse a cabo mediante seguros u otros acuerdos. NOTA 3. La transferencia de riesgos puede crear nuevos riesgos o modificar un riesgo existente. A.26 tratamiento de riesgos. Proceso de selección e implementación de medidas para modificar el riesgo. NOTA 1. El término tratamiento del riesgo es utilizado a veces para las medidas en sí mismas. NOTA 2. Las medidas de tratamiento de los riesgos pueden incluir evitar, modificar, transferir o retener el riesgo. A.27 análisis de sensibilidad. Examinar cómo varían los resultados de un cálculo o modelo cuando se cambian las hipótesis o suposiciones individuales. A.28 interesados. Personas y organizaciones que pueden afectar, ser afectados, o percibir ser afectados por la decisión o actividad. NOTA. El término interesados (‘stakeholders’) puede también incluir partes interesadas tal como son definidas en IRAM/ISO 14050 e IRAM/ISO 14004.

22


Anexo B (Informativo)

Proceso de Gestión de Riesgos

NOTA. En la figura de la IRAM 17550 no estaba la actividad “Documentar y registrar” en forma explícita en el gráfico

Figura B1 – Visión general – Proceso de gestión de riesgos

23


Figura B2 – Proceso de gestión de riesgos detallado

24


Anexo C (Informativo)

Bibliografía En el estudio de esta norma se han tenido en cuenta los antecedentes siguientes: IRAM - INSTITUTO ARGENTINO DE NORMALIZACIÓN Y CERTIFICACIÓN IRAM 9001:2000 - Sistemas de gestión de la calidad. Requisitos. IRAM 17550:2005 - Sistema de gestión de riesgos - Directivas generales. IRAM-ISO 19011:2005 - Directrices para la auditoría de los sistemas de gestión de la calidad

y/o ambiental. IRAM-ISO/IEC 27001 - Sistemas de gestión de la seguridad de la información. Requisitos.

(En estudio). ISO - INTERNATIONAL ORGANIZATION FOR STANDARDIZATION IEC - INTERNATIONAL ELECTROTECHNICAL COMMISSION ISO/IEC Guide 73:2002 - Risk management. Vocabulary. Guidelines for use in standards. ISO/IEC CD Guide 73:2007 - Risk management. Vocabulary.

25


Anexo D (Informativo)

Integrantes del organismo de estudio El estudio de esta norma ha estado a cargo del organismo respectivo, integrado en la forma siguiente: Subcomité de Gestión de Riesgos

Integrante Representa a: Sr. Gerardo AMICO IRSA –APSA - CRESUD/ MIA CONSULTORES Ing. Adrián Mario BALONGA SISTEMIKA.COM Lic. Demetrio BARCAS OPERCON S.A Lic. Juan de Dios BEL IAIA-INST. AUDITORES INTERNOS ARG./ ADACSI-

ASOC. DE AUDITORÍA Y CONTROL DE SIST. INF. Lic. Julio César BELLENE GRUPO TEKNE Cont. Guillermo BILICK ONABE/ NASA – NUCLEOELÉCTRICA ARGENTINA

S.A. Lic. Mario L. CAMMISA SEGURIDAD INFORMÁTICA Act Carolina C. CASTRO XPROJECT S.A. Ing. Jorge Luis CEBALLOS CONSULTORA EMPRENDER Cont. Dante CRISTINA EDENOR S.A. Lic. Adriana E. DE ROSE INVITADA ESPECIAL Dr. Juan DZIERRA D&D/ ASEPACE / INVITADO ESPECIAL Ing. Norberto A. ESARTE GATECH S.A. Lic. Diana ETCHEVERRY NACION AFJP Ing. Daniel G. FERNÁNDEZ METROVÍAS S.A. Cont. Silvia IGLESIAS SILVIA IGLESIAS Y ASOC. Sr. Miguel A. LAVINIA SIO CONSULTING Sr. Alejandro LEWKOWICZ APSA Ing. Raul José Mario LÓPEZ CTI CONSULTORES DE TECNOLOGÍA E INGENIE-

RÍA Dr. Eduardo MELINSKY INSTITUTO ACTUARIAL ARGENTINO Ing. Liliana R. MIRA LMIRA Consultores Sra. Patricia del Cármen MUÑOZ INVITADA ESPECIAL Sr. Marcos A. PASSARELLO NACIÓN AFJP Lic. Osvaldo PÉREZ INVITADO ESPECIAL Sra. Viviana PÉRSICO DE SOZZANI BANCO DE LA PROV. DE BS. AS. Ing. Fernando RADICCHI BNA – BANCO DE LA NACIÓN ARGENTINA Sr. Pablo RODRÍGUEZ ROMEO AXIMIA Ing. Pablo Miguel F. ROMANOS KHU TECHNOLOGIES S.A. Dr. Carlos Fernando ROZEN BDO ARGENTINA Sr. Marcelo TORRES BANCO DE LA PROV. DE BS. AS. Mg. Gerardo Carlos SAID INFOTRON S.A. Sr. Eduardo ZABOTINSKY NETCONSUL Lic. Marta R. de BARBIERI IRAM Lic. Domingo F. DONADELLO IRAM Sr. Marcos A. PASSARELLO IRAM/ INVITADO ESPECIAL Ing. Fabián ROJAS IRAM Srta. Silvana Mayra SARAVIA IRAM Mg. Paula María ANGELERI IRAM

26


TRÁMITE El estudio de este Esquema se realizó en las reuniones del 2005-18-23 (Acta 5-2005), 2005-09-27 (Acta 6-2005), 2005-10-25 (Acta 7-2005), 2005-11-22 (Acta 8-2005), 2006-03-21 (Acta 3-2006), 2006-04-18 (Acta 4-2006), 2006-05-23 (Acta 5-2006), 2006-06-06 (Acta 6-2006), 2006-06-21 (Acta 7-2006), 2006-07-11 (Acta 8-2006), 2006-08-29 (Acta 9-2006), 2006-09-19 (Acta 10-2006), 2006-10-19 (Acta 11-2006), 2006-11-08 (Acta 12-2006), 2006-11-21 (Acta13-2006), 2006-12-21 (Ac-ta 14-2006), 2007-01-17 (Acta 1-2007), 2007-02-07 (Acta 2-2007), 2007-03-21 (Acta 3-2007), 2007-04-18 (Acta 4-2007), 2007-06-20 (Acta 5-2007), 2007-07-18 (Acta 6-2007), 2007-08-22 (Acta 7-2007), 2007-10-24 (Acta 8-2007), en la última de las cuales se lo aprobó como Esquema 1 y se dispuso su envío a Discusión Pública por el término de 30 d. Asimismo, en el estudio de este Esquema se han considerado los aspectos siguientes:

Aspectos ¿ SE HAN INCORPORADO ?Sí / No / No corresponde Comentarios

Ambientales No

Salud No

Seguridad No

****************************** APROBADO SU ENVÍO A DISCUSIÓN PÚBLICA POR EL SUBCOMITÉ DE GESTIÓN DE

RIESGOS EN SU SESIÓN DEL 24 DE OCTUBRE DE 2007 (Acta 8-2007).

FIRMADO Mg. Paula María Angeleri

Coordinador del Subcomité

FIRMADO Cont. Guillermo Bilick

Secretario del Subcomité FIRMADO

Lic. Marta R. de Barbieri Vº Bº Gerente de Tecnología Química

27

ESQUEMA 1 DE NORMA IRAM 17551 - RiesgoOperacional.comIRAM es el representante de la Argentina en la...

Documents

Transcript of ESQUEMA 1 DE NORMA IRAM 17551 - RiesgoOperacional.comIRAM es el representante de la Argentina en la...