iso 31000
46
ISO/FDIS 31000:2009(E) NORMA ISO/FDIS INTERNACIONAL 31000 LA GESTIÓN DE RIESGOS - PRINCIPIOS Y DIRECTRICES Management du risque — Principes et lignes directrices ISO / TMB TC Secretaría: CSAC La votación comienza el: 25/05/2009 Votar termina en:
description
iso 31000 riesgos
Transcript of iso 31000
ISO/FDIS 31000:2009(E)NORMA ISO/FDISINTERNACIONAL31000
ISO / TMB TCSecretara: CSAC
La votacin comienza el:25/05/2009
Votar termina en:07/25/2009LA GESTIN DE RIESGOS - PRINCIPIOS Y DIRECTRICES
Management du risque Principes et lignes directrices
Contenido de la pgina
Prlogo Introduccin1 mbito de aplicacin 2 Trminos y definiciones 3 Principios 4 Marco4,1 General4.2 Mandato y compromiso4.3 Diseo de marco para la gestin del riesgo 4.3.1 Descripcin de la organizacin y su contexto 4.3.2 El establecimiento de la gestin de polticas de riesgo4.3.3 Responsabilidad4.3.4 La integracin en los procesos de organizacin4.3.5 Recursos4.3.6 El establecimiento de la comunicacin interna y Mecanismo de informacin4.3.7 El establecimiento de la comunicacin externa y presentacin de informes 4,4 Aplicacin de la gestin del riesgo.4.4.1 Aplicacin del marco para la gestin del riesgo 4.4.2 Implementacin del Proceso de Gestin de Riesgos4.5 Seguimiento y revisin del marco.4.6 Marco mejora continua 5. Proceso 5,1 General 5.2 Comunicacin y consulta 5.3 Establecer el contexto 5.3.1 General 5.3.2 Establecer el contexto externo 5.3.3 Establecer el contexto interno 5.3.4 Establecer el contexto del Proceso de Gestin de Riesgos5.3.5 Definicin de criterios de riesgo5.4 Evaluacin del riesgo 5.4.1 General5.4.2 Identificacin de Riesgos5.4.3 Anlisis de riesgos5.4.4 Evaluacin del riesgo5.5 Tratamiento de riesgos5.5.1 General5.5.2 Seleccin de Opciones de tratamiento del riesgo5.5.3 Elaboracin y ejecucin de los planes de tratamiento de riesgos 5.6 Seguimiento y revisin 5.7 El registro del proceso de gestin de riesgos Anexo A (Informativo) Los atributos de la mejor gestin del riesgo Bibliografa
PREFACIO
ISO (la Organizacin Internacional de Normalizacin) es una federacin mundial de organismos nacionales de normalizacin (Organismos miembros de ISO). La preparacin del trabajo de Normas Internacionales se realiza normalmente a travs de ISO-Comit Tcnico. Cada miembro del organismo se interesa en un tema de un comit tcnico que haya sido. Ha establecido el derecho a estar representados en ese comit. Organizaciones internacionales, y gubernamentales no gubernamentales, en coordinacin con ISO, tambin participan en la obra. Colaborar estrechamente con la norma ISO Comisin Electrotcnica Internacional (IEC) en todas las cuestiones de normalizacin electrotcnica.
Normas Internacionales se redactan de conformidad con las reglas establecidas en la norma ISO / IEC, parte 2.
La tarea principal del Comit Tcnico es preparar normas internacionales. Proyecto de Normas Internacionales ADOPTADA por el miembro del Comit Tcnico se distribuy a los cuerpos para la votacin. Ao de publicacin han Requiere la aprobacin de la norma internacional "por lo menos el 75% de los votos fue elegida por los miembros del cuerpo.
Se presta dibujados a sacrificar parte de la posibilidad de que los elementos de este documento "puede ser objeto de patente los derechos. ISO Nadie ser la responsable de identificar "cualquiera o todos los derechos dicha patente.
ISO 31000 fue preparada por el Consejo de Administracin ISO Grupo de Trabajo Tcnico sobre Gestin de Riesgos.
INTRODUCCIN
Las organizaciones de todos tipos y tamaos se enfrentan los factores internos y externos y las influencias que lo hacen incierto si, y cundo van a alcanzar sus objetivos. El efecto que esto tiene en la incertidumbre de una organizacin objetivos es "de riesgo". Todas las actividades de una organizacin implican un riesgo. Organizaciones gestionar el riesgo mediante la identificacin de ella, analizarla y, a continuacin evaluar si el riesgo debe ser modificado por el tratamiento del riesgo con el fin de satisfacer sus criterios de riesgo. A lo largo de este proceso, comunicacin y consulta con las partes interesadas y monitorear y evaluar el riesgo y los controles que estn modificando el riesgo con el fin de garantizar que ningn tratamiento de los riesgos se requiere ms. Esta Norma Internacional describe este proceso sistemtico y lgico en detalle. Si bien todas las organizaciones gestionar el riesgo en cierta medida, esta norma internacional establece una serie de principios que deben ser satisfechas para que la gestin eficaz del riesgo. Esta Norma Internacional recomienda que las organizaciones a desarrollar, implementar y mejorar continuamente un marco cuyo objetivo es para integrar el proceso de gestin de riesgos en la gobernanza global de la organizacin, planificacin y estrategia, gestin, los procesos de informacin, polticas, valores y cultura. La gestin de riesgos puede aplicarse a toda una organizacin, en sus reas y niveles, en cualquier momento, as en cuanto a funciones especficas, proyectos y actividades. Aunque la prctica de la gestin de riesgos ha sido desarrollado con el tiempo y dentro de muchos sectores con el fin de satisfacer las diversas necesidades, la adopcin de procesos coherentes dentro de un marco global puede ayudar a garantizar que el riesgo se gestiona con eficacia, eficiencia y de manera coherente en toda la organizacin. El genricoenfoque descrito en esta Norma Internacional establece los principios y directrices para la gestin de cualquier forma de riesgo de manera sistemtica, transparente y creble y dentro de cualquier mbito y contexto. Cada sector especfico o una aplicacin de gestin de riesgos trae consigo las necesidades individuales, las audiencias, las percepciones y criterios. Por lo tanto, una caracterstica clave de esta norma internacional es la inclusin de "establecer el contexto" como una actividad al comienzo de este proceso de gestin de riesgos genricos. Establecer el contexto capturar los objetivos de la organizacin, el entorno en el que persigue estos objetivos, sus grupos de inters y la diversidad de criterios de riesgo - todo lo cual ayudar a revelar y evaluar la naturaleza y complejidad de sus riesgos. La relacin entre los principios de gestin del riesgo, el marco en que se produce y el riesgo proceso de gestin se describen en esta Norma Internacional se muestra en la Figura 1. Cuando se implementa y mantiene de acuerdo con esta norma internacional, la gestin del riesgo permite a una organizacin, por ejemplo:
aumentar la probabilidad de lograr los objetivos; fomentar la gestin proactiva; ser conscientes de la necesidad de identificar y tratar el riesgo en toda la organizacin; mejorar la identificacin de oportunidades y amenazas; cumplir con las exigencias legales y reglamentarias y las normas internacionales; Mejorar la informacin financiera; mejorar la gobernanza; mejorar la confianza de los interesados y la confianza;establecer una base confiable para la toma de decisiones y la planificacin; mejorar los controles; eficaz asignar y utilizar recursos para el tratamiento del riesgo; mejorar la eficacia operacional y la eficiencia; mejorar la salud y de seguridad, as como la proteccin del medio ambiente; mejorar la prevencin de prdidas y gestin de incidentes; minimizar las prdidas; mejorar el aprendizaje organizacional, y mejorar la resistencia de la organizacin.
Esta Norma Internacional est destinada a satisfacer las necesidades de una amplia gama de interesados, entre ellos:
a) los responsables de desarrollar la poltica de gestin del riesgo dentro de su organizacin;
b) los responsables de asegurar que el riesgo se administra con eficacia dentro de la organizacin en su conjunto o en una zona especfica, proyecto o actividad;
c) los que necesitan para evaluar la eficacia de una organizacin en la gestin de riesgos, y
d) los desarrolladores de normas, guas, procedimientos y cdigos de prcticas que, en todo o en parte, establecen la forma riesgo se gestione en el contexto especfico de estos documentos.
Las prcticas actuales de gestin y los procesos de muchas organizaciones incluyen componentes de riesgo gestin, y muchas organizaciones ya han adoptado un proceso de gestin de riesgos formal para particulares tipos de riesgo o circunstancias. En tales casos, una organizacin puede decidir llevar a cabo un examen crtico de sus prcticas y procesos existentes a la luz de esta Norma Internacional. En esta norma internacional, las expresiones "gestin de riesgos" y "gestin del riesgo" son utilizados. En trminos generales, "la gestin del riesgo" se refiere a la arquitectura (principios, estructura y proceso) para la gestin de eficazmente los riesgos, mientras que "la gestin del riesgo" se refiere a la aplicacin de esta arquitectura para riesgos especiales.
Marco para la gestin delriesgo(Clusula 4)a) Crea valorb) una parte integral delos procesos de organizacinc) Una parte de la toma de decisionesd) se aborda expresamente incertidumbree) sistemtica, estructuraday oportunaf) Sobre la base de los mejoresinformacin disponibleg) a la medidah) Toma humanos ylos factores culturales encuentai) transparente e inclusivoj) dinmica, iterativo y de respuesta al cambioFacilita k) contina mejora ymejora de laorganizacin
Principios de la gestinriesgo(Clusula 3)Mandato y compromiso (4,2)Diseo de marco para manejar el riesgo (4.3)Implementar riesgo administracin (4.4)Seguimiento y revisin del marco (4,5)Continuo mejora de los marco (4.6)
Proceso de gestin del riesgo (Clusula 5)
Comunicacin y consulta (5,2)Establecer el contexto(5.3)Evaluacin del riesgo (5,4)Identificacin de riesgos (5.4.2)Anlisis de riesgos (5.4.3)Evaluacin de riesgos (5.4.4)Tratamiento del riesgo (5,5)Control y revisin (5,6)Figura 1 - Relacin entre los principios de gestin de riesgos, marco y un proceso
LA GESTIN DE RIESGOS - PRINCIPIOS Y DIRECTRICES
1 MBITO DE APLICACIN
Esta Norma Internacional establece los principios y directrices de carcter genrico sobre la gestin del riesgo.
Esta Norma Internacional puede ser utilizada por cualquier entidad pblica, privada o comunitaria de la empresa, asociacin, grupo o individuales. Por lo tanto, esta Norma Internacional no es especfica de cualquier industria o sector.
NOTA Para mayor comodidad, todos los diferentes usuarios de esta norma internacional se refieren con el trmino general "Organizacin".
Esta Norma Internacional puede ser aplicada a lo largo de la vida de una organizacin, as como una amplia gama de actividades, incluidas las estrategias y decisiones, operaciones, procesos, funciones, proyectos, productos, servicios y activos.
Esta Norma Internacional puede ser aplicada a cualquier tipo de riesgo, cualquiera que sea su naturaleza, ya sea positivo o tener consecuencias negativas.
Aunque esta Norma Internacional proporciona directrices genricas, no es la intencin de promover la uniformidad de riesgo gestin en las organizaciones. El diseo y ejecucin de planes de gestin de riesgos y marcos tendr que tomar en cuenta las diversas necesidades de una organizacin especfica, sus objetivos particulares, contexto, estructura, operaciones, procesos, funciones, proyectos, productos, servicios o activos especficos y prcticas empleadas.
Se pretende que esta Norma Internacional se utilizar para armonizar la gestin del riesgo en existentes y las normas futuras. Proporciona un enfoque comn en favor de normas que tratan sobre riesgos especficos y / o sectores, y no sustituyen a las normas.
Esta Norma Internacional no se destine a los fines de la certificacin.
2 TRMINOS Y DEFINICIONES
A los efectos de este documento, los siguientes trminos y definiciones.
2,1 RiesgoEfecto de la incertidumbre sobre los objetivos
NOTA 1 Un efecto es una desviacin de lo esperado - positivos y / o en contra.
NOTA 2 Los objetivos pueden presentarse bajo distintas formas (como servicios financieros, salud y seguridad, y las metas ambientales) y puede se aplican a niveles diferentes (como proyecto estratgico, en toda la organizacin,, productos y procesos).
NOTA 3 de riesgo a menudo se caracterizan por hacer referencia a los eventos potenciales (2.19) y consecuencias (2,20), o un combinacin de stos.
NOTA 4 El riesgo se expresa a menudo en trminos de una combinacin de las consecuencias de un evento (incluyendo los cambios encircunstancias) y la probabilidad asociada (2.21) de ocurrencia.
NOTA 5 La incertidumbre es el Estado, aunque sea parcial, de la deficiencia de la informacin relacionada con la comprensin o el conocimiento de una caso, su consecuencia, o la probabilidad. [Gua ISO 73:2009, definicin 1.1]
2,2 Gestin de riesgosActividades coordinadas para dirigir y controlar una organizacin con respecto al riesgo (2,1)[Gua ISO 73:2009, definicin 2.1]
2,3 Marco de gestin de riesgosConjunto de componentes que proporcionan las bases y organizacin para disear, implementar, control (2,30), la revisin y mejora contina de la gestin del riesgo (2,2) en toda la organizacin
NOTA 1 Las bases incluyen la poltica, los objetivos, el mandato y el compromiso para gestionar el riesgo (2,1).
NOTA 2 Los acuerdos incluyen planes de organizacin, relaciones, responsabilidades, recursos, procesos y las actividades.
NOTA 3 El marco de gestin de riesgos est incrustado dentro de la organizacin global estratgica y operativa polticas y prcticas.[Gua ISO 73:2009, la definicin 2.1.1]
2,4 La poltica de gestin de riesgosDeclaracin de las intenciones y direccin generales de una organizacin relacionada con la gestin del riesgo (2,2)[Gua ISO 73:2009, la definicin 2.1.2]
2,5 Actitud de riesgoEnfoque de la organizacin para evaluar y llevar a cabo finalmente, conservar, adoptar o alejarse de riesgo (2,1)[Gua ISO 73:2009, definicin 3.7.1.1]
2,6 Apetito por el riesgoCantidad y tipo de riesgo (2,1) que una organizacin est preparada para ejercer, mantener o adoptar[Gua ISO 73:2009, definicin 3.7.1.2]
2,7La aversin al riesgoActitud de dar la espalda a riesgo (2,1) [Gua ISO 73:2009, definicin 3.7.1.4]
2,8Plan de gestin de riesgosRgimen en el marco de gestin del riesgo (2,3) especificando el enfoque, la gestin componentes y los recursos que se aplicarn a la gestin del riesgo (2,1)
NOTA 1: Los componentes de gestin caracterizada por incluir procedimientos, prcticas, la asignacin de responsabilidades, la secuencia y el calendario de actividades.
NOTA 2 El plan de gestin de riesgos se puede aplicar a un determinado producto, proceso y proyecto, y una parte o la totalidad de la organizacin.[Gua ISO 73:2009, la definicin 2.1.3]
2,9Riesgo propioPersona o entidad con la responsabilidad y la autoridad para gestionar el riesgo (2,1)[Gua ISO 73:2009, definicin 3.5.1.4]
2,10Proceso de gestin de riesgosAplicacin sistemtica de polticas de gestin, procedimientos y prcticas para las actividades de comunicacin,consultora, establecer el contexto y la identificacin, anlisis, evaluacin, tratamiento, seguimiento (2,30) yrevisin de riesgo (2,1)[Gua ISO 73:2009, definicin 3.1]
2,11Establecer el contextodefinicin de los parmetros internos y externos que deben tenerse en cuenta a la hora de gestin del riesgo, y establecer lambito de aplicacin y criterios de riesgo (2,24) para la poltica de gestin de riesgo (2,4)[Gua ISO 73:2009, la definicin 3.3.1]
2,12Contexto externoEntorno externo en que la organizacin pretende alcanzar sus objetivos
NOTA: contexto externo pueden incluir:
La cultural, social, poltico, jurdico, reglamentario, financiero, tecnolgico, econmico, natural y competitivo,ya sea internacional, nacional, regional o local;Factores clave y las tendencias que tienen un impacto sobre los objetivos de la organizacin, y las relaciones con los y las percepciones y los valores de, las partes interesadas externas (2,15).
[Gua ISO 73:2009, definicin 3.3.1.1]
2,13Contexto internoAmbiente interno en el que la organizacin pretende alcanzar sus objetivos
NOTA contexto interno puede incluir:
Gobierno, estructura organizativa, las funciones y responsabilidades;Las polticas, los objetivos y las estrategias que existen para su realizacin;La capacidad, entendida en trminos de recursos y el conocimiento (por ejemplo, capital, tiempo, personas, procesos, sistemas ytecnologas);Las percepciones y los valores de grupos de inters internos;Sistemas de informacin, flujos de informacin y procesos de toma de decisiones (tanto formales como informales); las relaciones con los y las percepciones y los valores de, grupos de inters internos;Cultura de la organizacin; Las normas, directrices y modelos adoptados por la organizacin, yForma y el alcance de las relaciones contractuales.
[Gua ISO 73:2009, definicin 3.3.1.2]
2,14Comunicacin y consultaProcesos continuos e iterativos que una organizacin lleva a cabo para ofrecer, compartir o obtener informacin y entablar un dilogo con las partes interesadas (2,15) y otros en relacin con la gestin del riesgo (2,1)
NOTA 1 La informacin que pueden relacionarse con la existencia, la naturaleza, la forma, la probabilidad (2.21), la gravedad, la evaluacin, la aceptabilidad, tratamiento u otros aspectos de la gestin del riesgo.
NOTA 2 La consulta es un proceso bidireccional de la comunicacin informada entre una organizacin y sus grupos de inters u otras personas sobre un tema antes de tomar una decisin o determinar una direccin sobre un tema en particular. La consulta es:
Un proceso que repercute en una decisin a travs de la influencia en lugar de poder, y Una entrada para la toma de decisiones, no la toma de decisiones conjuntas.[Gua ISO 73:2009, la definicin 3.2.1]
2,15Las partes interesadasPersona u organizacin que pueden afectar, ser afectado por, o perciben a s mismas podran verse afectados por una decisin o actividad
NOTA Un tomador de decisiones puede ser un actor.[Gua ISO 73:2009, definicin 3.2.1.1]
2,16Evaluacin de riesgosProceso general de identificacin de riesgo (2,17), anlisis de riesgo (2,23) y de evaluacin de riesgos (2,26)[Gua ISO 73:2009, la definicin 3.4.1]
2,17Identificacin de riesgosProceso de encontrar, reconocer y describir los riesgos (2,1)
NOTA 1 La identificacin del riesgo implica la identificacin de las fuentes de riesgo (2,18), eventos (2.19), sus causas y sus posibles consecuencias (2,20).
NOTA 2 identificacin de riesgos puede incluir los datos histricos, anlisis terico, y opiniones de expertos, y las partes interesadas de (2,15) necesidades. [Gua ISO 73:2009, la definicin 3.5.1]
2,18Fuente de riesgoElemento que por s solo o en combinacin tiene el potencial intrnseco para dar lugar a riesgo (2,1)
NOTA Una fuente de riesgos puede ser tangible o intangible.[Gua ISO 73:2009, definicin 3.5.1.1]
2,19EventoAparicin o cambio de un conjunto particular de circunstancias
NOTA 1 Un evento puede ser una o ms ocurrencias, y puede tener varias causas.
NOTA 2 Un evento puede consistir en algo no est sucediendo.
NOTA 3 Un evento puede ser a veces conocido como un "incidente" o "accidente".
NOTA 4 Un evento sin consecuencias tambin pueden ser referido como un "Near Miss", "incidente", "cay cerca" o "los pelos".
[Gua ISO 73:2009, definicin 3.5.1.2]
2,20ConsecuenciaResultado de un evento (2.19) que afectan a los objetivos
NOTA 1 Un evento puede dar lugar a una serie de consecuencias.
NOTA 2 Una consecuencia puede ser cierto o incierto y puede tener efectos positivos o negativos sobre los objetivos.
NOTA 3 Las consecuencias pueden ser cualitativa o cuantitativa.
NOTA 4 primeras consecuencias pueden escalar a travs de efectos en cadena.
[Gua ISO 73:2009, definicin 3.6.1.3]
2,21ProbabilidadProbabilidad de que algo suceda
NOTA 1 En la terminologa de la gestin del riesgo, la palabra "riesgo" se utiliza para referirse a la posibilidad de que algo suceda,tanto si estn incluidos, medidos o determinarse de manera objetiva o subjetivamente, cualitativa o cuantitativamente, y describi el usotrminos generales o matemticamente (por ejemplo, una probabilidad o una frecuencia ms de un perodo determinado).
NOTA 2 El Ingls trmino "riesgo" no tiene un equivalente directo en algunas lenguas, sino el equivalente deel trmino "probabilidad" se utiliza a menudo. Sin embargo, en Ingls, "probabilidad" Est frecuentemente interpretado como un trmino matemtico.Por lo tanto, en la terminologa de gestin de riesgos, "riesgo" se utiliza con la intencin de que deben tener la misma ampliainterpretacin del trmino "probabilidad" tiene en muchos idiomas distintos Ingls.[Gua ISO 73:2009, definicin 3.6.1.1]
2,22Perfil de riesgoDescripcin de un conjunto de riesgos (2,1)
NOTA El conjunto de los riesgos pueden incluir aquellas que se refieren a toda la organizacin, parte de la organizacin, o comodefinido de otra forma.
[Gua ISO 73:2009, definicin 3.8.2.5]
2,23Anlisis de riesgosProceso de comprender la naturaleza del riesgo (2,1) y para determinar el nivel de riesgo (2,25)
NOTA 1 El anlisis de riesgos constituye la base para la evaluacin de riesgo (2,26) y las decisiones sobre el tratamiento del riesgo (2.27).
NOTA 2 El anlisis de riesgos incluye estimacin del riesgo.
[Gua ISO 73:2009, la definicin 3.6.1]
2,24Criterios de riesgoTrminos de referencia respecto al cual el significado de un riesgo (2,1) se evala
NOTA 1 Los criterios de riesgo se basan en objetivos de la organizacin, y externos (2,12) y el marco interior de (2.13).
NOTA 2 criterios de riesgo se pueden derivar de las normas, leyes, polticas y otros requisitos.
[Gua ISO 73:2009, definicin 3.3.1.3]
2,25Nivel de riesgoMagnitud de un riesgo (2,1), expresada en trminos de la combinacin de las consecuencias (2,20) y sus probabilidad (2.21)[Gua ISO 73:2009, definicin 3.6.1.8]
2,26Evaluacin de los riesgosProceso de comparacin de los resultados de anlisis de riesgo (2,23) con criterios de riesgo (2.24) para determinar si el riesgo (2,1) y / o su magnitud es aceptable o tolerable evaluacin de riesgos NOTA ayuda en la decisin sobre el tratamiento del riesgo (2.27).[Gua ISO 73:2009, la definicin 3.7.1]
2,27Tratamiento del riesgoProceso para modificar el riesgo (2,1)
NOTA 1 tratamiento de los riesgos puede implicar:
evitar el riesgo al decidir no iniciar o continuar con la actividad que dio lugar al riesgo; tomando o el incremento del riesgo con el fin de perseguir una oportunidad;la eliminacin de la fuente de riesgo (2,18); cambiar la probabilidad (2.21); cambiando las consecuencias (2,20);la distribucin del riesgo a otra parte o las partes (incluidos los contratos y la financiacin de riesgo), y mantener el riesgo en la eleccin informada.
NOTA 2 tratamientos de riesgos que tienen que ver con consecuencias negativas se refieren a veces como "reduccin del riesgo," el riesgo "La eliminacin", de prevencin de riesgos "y" reduccin del riesgo.
NOTA 3 el tratamiento de los riesgos puede crear nuevos riesgos o modificar los riesgos existentes.
[Gua ISO 73:2009, la definicin 3.8.1]
2,28ControlMedida que puede modificar el riesgo (2,1)
NOTA 1 Los controles incluyen cualquier proceso, la poltica, dispositivo, prctica u otras acciones que modifican el riesgo.
NOTA 2 Los controles no siempre pueden ejercer previsto, o supone modificar efecto.
[Gua ISO 73:2009, definicin 3.8.1.1]
2,29Riesgo residualDe riesgo (2,1) restante despus del tratamiento del riesgo (2.27)
NOTA 1 riesgo residual puede contener el riesgo no identificados.
NOTA 2 del riesgo residual tambin puede ser conocido como "riesgo que subsisten".
[Gua ISO 73:2009, definicin 3.8.1.6]
2,30SeguimientoControl continuo, la supervisin, observacin o crtica para determinar el carcter con el fin de identificar el cambio del nivel de rendimiento requerido o esperado
NOTA: El seguimiento se puede aplicar a un marco de gestin de riesgo (2,3), el proceso de gestin del riesgo (2,10), el riesgo(2,1) o control (2.28).
[Gua ISO 73:2009, definicin 3.8.2.1]
2,31RevisinActividad que se realice para determinar la conveniencia, adecuacin y eficacia de la materia para lograr objetivos establecidosNOTA examen se puede aplicar a un marco de gestin de riesgo (2,3), el proceso de gestin del riesgo (2,10), el riesgo (2,1)o control (2.28).[Gua ISO 73:2009, definicin 3.8.2.2]
3 PRINCIPIOS
Para la gestin de riesgos para ser eficaz, una organizacin en todos los niveles deben cumplir con los principios siguientes.
a) La gestin del riesgo crea valor y protege.
La gestin del riesgo contribuye a la consecucin de los objetivos demostrables y la mejora delrendimiento, por ejemplo, la salud y la seguridad humanas, de seguridad, legales y el cumplimiento normativo, pblicoaceptacin, proteccin del medio ambiente, la calidad del producto, gestin de proyectos, la eficiencia en las operaciones,la gobernanza y la reputacin.
b) La gestin de riesgos es una parte integral de todos los procesos de organizacin.
La gestin del riesgo no es una actividad aislada, separada de las principales actividades y procesos dela organizacin. La gestin de riesgos forma parte de las responsabilidades de gestin y como parte integrante detodos los procesos de organizacin, incluida la planificacin estratgica y el proyecto de todos y de gestin del cambioprocesos.
c) La gestin del riesgo es parte de la toma de decisiones.
La gestin de riesgos ayuda a quienes toman las decisiones tomar decisiones, priorizar acciones y distinguirentre los cursos alternativos de accin.
d) La gestin de riesgos explcitamente en cuenta la incertidumbre.
La gestin de riesgos tiene en cuenta explcitamente la incertidumbre, la naturaleza de esa incertidumbre, y cmo se puededirigida.
e) La gestin del riesgo es sistemtica, estructurada y oportuna.
Un enfoque sistemtico, oportuno y estructurado de gestin de riesgo contribuye a la eficiencia y resultados consistentes, comparables y fiables.
f) La gestin del riesgo se basa en la mejor informacin disponible.
Las entradas para el proceso de gestin de riesgos se basan en fuentes de informacin tales como datos histricos, experiencia, los interesados comentarios, observaciones, pronsticos y opiniones de expertos. Sin embargo, la decisin los responsables deben informarse de, y debe tener en cuenta, las limitaciones de los datos o de modelizacin o la posibilidad de divergencia entre los expertos. g) La gestin del riesgo es a medida. La gestin de riesgos est alineada con el contexto externo e interno de la Organizacin y perfil de riesgo.
h) La gestin de los riesgos se toma los factores humanos y culturales en cuenta.La gestin del riesgo reconoce las capacidades, percepciones e intenciones de las personas internas y externas que pueden facilitar o dificultar el logro de los objetivos de la organizacin.
i) La gestin del riesgo sea transparente e inclusivo.
Adecuada y oportuna participacin de los interesados y, en particular, los tomadores de decisiones en todos los niveles de la organizacin, asegura que la gestin del riesgo sigue siendo pertinente y actualizada. La participacin tambin permite las partes interesadas estn debidamente representados y que sus opiniones sean tomadas en cuenta para determinar el riesgo criterios.
j) La gestin del riesgo es dinmico, interactivo y de respuesta al cambio.
Como los acontecimientos externos e internos se producen, el contexto y el conocimiento cambian, seguimiento y revisin tendr lugar, surgen nuevos riesgos, algn cambio, y desaparecen otros. Por lo tanto, la gestin de riesgos continuamente sentidos y responde a los cambios.
k) La gestin de riesgos facilita la mejora continua de la organizacin.
Las organizaciones deben desarrollar e implementar estrategias para mejorar su grado de madurez de gestin de riesgos junto con todos los dems aspectos de su organizacin.
El Anexo A establece un mayor asesoramiento para las organizaciones que deseen gestionar el riesgo con mayor eficacia.
4 MARCO
4.1 General
El xito de la gestin del riesgo depender de la eficacia del marco de gestin que proporciona las bases y disposiciones que lo incrusta en toda la organizacin en todos los niveles. El marco ayuda en la gestin de riesgos efectiva mediante la aplicacin del proceso de gestin de riesgos (vase la clusula 5) en diferentes niveles y dentro de contextos especficos de la organizacin. El marco garantiza que la informacin sobre riesgos derivados de estos procesos est adecuadamente informada y se utiliza como base para la toma de decisiones y rendicin de cuentas en todos los niveles organizativos que sean pertinentes. Esta clusula se describen los componentes necesarios del marco de la gestin de riesgos y la forma en que se interrelacionan de manera iterativa, como se muestra en la Figura 2.
Mandato y el compromiso (4,2)
Diseo de marco para la gestin del riesgo (4,3)Comprender la organizacin y su contexto (4.3.1)Establecer polticas de gestin de riesgos (4.3.2)Rendicin de Cuentas (4.3.3)La integracin en los procesos de organizacin (4.3.4)Recursos (4.3.5)El establecimiento de la comunicacin interna y la presentacin de informesmecanismos (4.3.6)El establecimiento de la comunicacin externa y la presentacin de informesmecanismos (4.3.7)
Aplicacin de la gestin de riesgo (4,4)Aplicacin del marco para la gestin del riesgo (4.4.1)La implementacin del proceso de gestin del riesgo (4.4.2)La mejora continua del marco (4.6)
Seguimiento y revisin del marco (4,5)
Figura 2 - Relacin entre los componentes del marco para la gestin del riesgo
Este marco no es la intencin de prescribir un sistema de gestin, sino ms bien para ayudar a la organizacin a integrar la gestin de riesgos en su sistema de gestin global. Por lo tanto, las organizaciones deben adaptar las componentes del marco de sus necesidades especficas.
Si las prcticas existentes en la organizacin y procesos de gestin incluyen los componentes de la gestin de riesgos o si la organizacin ya ha adoptado un proceso formal de gestin del riesgo para determinados tipos de riesgo o situaciones, estos deben ser revisados y evaluados crticamente en contra de esta norma internacional, incluyendo los atributos que figuran en el anexo A, con el fin de determinar su adecuacin y eficacia.
4.2 Mandato y compromiso
La introduccin de la gestin del riesgo y asegurar su continua eficacia requieren fuerte y sostenido compromiso de gestin de la organizacin, as como estratgicos y rigurosa planificacin para lograr compromiso en todos los niveles. La administracin debe:
definir y aprobar la poltica de gestin de riesgos; conseguir que la cultura de la organizacin y la poltica de gestin de riesgos estn alineadas; determinar el riesgo de indicadores de gestin del rendimiento que se alinean con los indicadores de rendimiento de la organizacin; alinear los objetivos de gestin del riesgo con los objetivos y estrategias de la organizacin; asegurar el cumplimiento legal y reglamentario;asignar las responsabilidades y las responsabilidades en los niveles apropiados dentro de la organizacin;asegurarse de que los recursos necesarios destinados a la gestin de riesgos; comunicar los beneficios de la gestin del riesgo a todos los interesados, y asegurarse de que el marco para la gestin del riesgo sigue estando en consonancia.
4.3 Diseo de marco para la gestin del riesgo
4.3.1 Descripcin de la organizacin y su contexto
Antes de iniciar el diseo y aplicacin del marco para la gestin de riesgos, es importante evaluar y entender tanto el contexto externo e interno de la organizacin, ya que estos pueden significativamente influir en el diseo del marco.
La evaluacin de contexto externo de la organizacin puede incluir, pero no se limita a:
a) las consecuencias sociales y culturales, legales, regulatorios, financieros, tecnolgicos, econmicos, naturales y competitivas medio ambiente, ya sea internacional, nacional, regional o local;b) factores clave y que tengan impacto en las tendencias de los objetivos de la organizacin, yc) las relaciones con los y las percepciones y los valores de, los interesados externos.
La evaluacin de contexto interno de la organizacin puede incluir, pero no se limita a: gobierno, estructura organizativa, las funciones y responsabilidades; Las polticas, los objetivos y las estrategias que existen para su realizacin;Capacidades, entendida en trminos de recursos y el conocimiento (por ejemplo, de capital, tiempo, personas, procesos, sistemas y tecnologas);Sistemas de informacin, flujos de informacin y toma de decisiones (tanto formales como informales); las relaciones con los y las percepciones y los valores de, grupos de inters internos y la cultura de la organizacin;Las normas, directrices y modelos adoptados por la organizacin, y La forma y el alcance de las relaciones contractuales.
4.3.2 El establecimiento de la gestin de polticas de riesgo
La poltica de gestin del riesgo debe exponer claramente los objetivos de la organizacin y su compromiso, el riesgo de gestin y por lo general resuelve los siguientes:
Lgica de la organizacin para la gestin del riesgo;Vnculos entre los objetivos de la organizacin y las polticas y la poltica de gestin de riesgos;La rendicin de cuentas y responsabilidades de la gestin del riesgo;la forma en que los intereses en conflicto se tratan;Compromiso de poner a disposicin los recursos necesarios para ayudar a los responsables y responsable de gestin del riesgo;La forma en que ser el rendimiento de gestin de riesgos medidos y reportados, y Compromiso de revisar y mejorar la poltica de gestin de riesgos y el marco peridica y, en respuesta a un evento o cambio en las circunstancias.La poltica de gestin de riesgos debe ser debidamente comunicada.
4.3.3 Rendicin de Cuentas
La organizacin debe garantizar que haya rendicin de cuentas, la autoridad y las competencias adecuadas para la gestin del riesgo, incluida la aplicacin y mantenimiento del proceso de gestin de riesgos y garantizar la adecuacin, eficacia y eficiencia de los controles. Esto puede ser facilitado por:
la identificacin de los propietarios de los riesgos que tienen la responsabilidad y la autoridad para administrar los riesgos; identificar quin es responsable de la elaboracin, aplicacin y mantenimiento del marco para manejar el riesgo; la identificacin de otras responsabilidades de las personas en todos los niveles de la organizacin para la gestin de riesgos proceso; Que se establece la medicin del desempeo y externos y / o presentacin de informes internos y los procesos de escalada; y garantizar niveles adecuados de reconocimiento.
4.3.4 La integracin en los procesos de organizacin
Gestin de riesgos debe estar integrada en todas las prcticas de la organizacin y los procesos de una manera que es pertinente, eficaz y eficiente. El proceso de gestin de riesgos debe formar parte de, y no separada de, los procesos de organizacin.
En particular, la gestin del riesgo debe ser empotrado en la poltica desarrollo, empresas y la planificacin estratgica y el examen, y los procesos de gestin del cambio. Debe haber un plan de gestin de riesgos en toda la organizacin para garantizar que la poltica de gestin de riesgo es a cabo y que la gestin de riesgos est incrustada en todas las prcticas de la organizacin y procesos. El plan de gestin de riesgos puede ser integrado en otros planes de la organizacin, como un plan estratgico.
4.3.5 Recursos
La organizacin debe asignar recursos suficientes para la gestin de riesgos.Debera tenerse en cuenta lo siguiente:
Las personas, habilidades, experiencia y competencia; Los recursos necesarios para cada paso del proceso de gestin del riesgo; Procesos de la organizacin de riesgos, mtodos y herramientas que se utilizarn para la gestin de riesgos; documentado los procesos y procedimientos; La informacin y los sistemas de gestin del conocimiento, y Los programas de formacin.
4.3.6 El establecimiento de la comunicacin interna y mecanismos de informacin
La organizacin debe establecer una comunicacin interna y los mecanismos de informacin con el fin de apoyar y fomentar la responsabilidad y la propiedad de riesgo. Estos mecanismos deberan garantizar que:
componentes clave del marco de gestin de riesgos, y las modificaciones posteriores, son debidamente comunicada; existe informacin adecuada sobre el marco interno, su eficacia y los resultados;la informacin pertinente derivada de la aplicacin de gestin de riesgos en los niveles adecuados y los tiempos, y hay procesos de consulta con los grupos de inters internos. Estos mecanismos deben incluir procesos de consolidacin de informacin sobre riesgos en su caso de una variedad de las fuentes, teniendo en cuenta su sensibilidad.
4.3.7 El establecimiento de la comunicacin externa y los mecanismos de informacin
La organizacin debe desarrollar e implementar un plan en cuanto a cmo se comunicar con externos las partes interesadas. Esto implica: participar las partes interesadas externas adecuadas y garantizar un intercambio eficaz de informacin; La presentacin de informes externos para cumplir con los requisitos legales, reglamentarios y de gobierno; La retroalimentacin y la presentacin de informes sobre la comunicacin y de consulta; La comunicacin utilizando para crear confianza en la organizacin, y La comunicacin con las partes interesadas en el caso de una crisis o emergencia.
Estos mecanismos deben incluir procesos de consolidacin de informacin sobre riesgos en su caso de una variedad de las fuentes, teniendo en cuenta su sensibilidad.
4.4 Aplicacin de gestin de riesgos
4.4.1 Aplicacin del marco para la gestin del riesgo
En la aplicacin del marco de la organizacin para la gestin de riesgos, la organizacin debe:
definir el momento oportuno y la estrategia para la aplicacin del marco; aplicar la poltica de gestin de riesgos y el proceso a los procesos de organizacin;cumplir con requisitos legales y reglamentarios; asegurarse de que la toma de decisiones, incluyendo el desarrollo y establecimiento de objetivos, est alineado con elresultados de los procesos de gestin de riesgos; celebrar sesiones de informacin y formacin, yComunicacin y consulta con las partes interesadas para garantizar que su marco de gestin del riesgo sigue siendoapropiado.
4.4.2 La implementacin del proceso de gestin de riesgos
La gestin del riesgo, debe aplicarse a garantizar que el proceso de gestin del riesgo descrita en la clusula 5 se aplica a travs de un plan de gestin de riesgos en todos los niveles y funciones pertinentes de la organizacin como parte de sus prcticas y procesos.
4.5 Seguimiento y revisin del marco
Con el fin de garantizar que la gestin de riesgos es eficaz y sigue apoyando el desempeo organizacional, laorganizacin debe:
Medida de gestin de riesgos en relacin con indicadores de rendimiento, que se revisan peridicamente parapertinencia;Peridicamente medir el progreso en contra, y la desviacin de el plan de gestin de riesgos; revisar peridicamente si el marco de gestin de riesgos, la poltica y el plan siguen siendo adecuados, teniendo en cuentacontexto de las organizaciones internas y externas; informe sobre el riesgo, el progreso con el plan de gestin de riesgos y lo bien que la poltica de gestin de riesgo se estseguir y evaluar la eficacia del marco de gestin de riesgos.
4.6 La mejora contina del marco
Con base en los resultados del seguimiento y opiniones, las decisiones deben tomarse sobre la forma de gestin de riesgosmarco, la poltica y el plan se puede mejorar. Estas decisiones deben conducir a la mejora de laorganizacin de gestin del riesgo y su cultura de gestin de riesgos.
5 PROCESO
5.1 Generalidades
El proceso de gestin de riesgos debe ser
Una parte integral de la gestin, incrustado en la cultura y prcticas, yAdaptados a los procesos de negocio de la organizacin.
Comprende las actividades descritas en 5,2 a 5,6. El proceso de gestin de riesgos se muestra en la Figura 3
Comunicacin y consulta (5,2)Establecer el contexto(5.3)Evaluacin del riesgo (5,4)Identificacin de riesgos (5.4.2)Anlisis de riesgos (5.4.3)Evaluacin de riesgos (5.4.4)Tratamiento del riesgo (5,5)
Control y revisin (5,6)
Figura 3 - Proceso de gestin de riesgos
5.2 Comunicacin y consulta
Comunicacin y consulta con las partes interesadas externas e internas que tienen lugar durante todas las fases del proceso de gestin de riesgos.
Por lo tanto, los planes de comunicacin y consulta deben desarrollarse en una etapa temprana. Estos deben abordar las cuestiones relacionadas con el propio riesgo, sus causas, sus consecuencias (si se conoce), y las medidas que se adoptadas para tratarlo. La comunicacin efectiva interna y externa y la consulta debe llevarse a cabo para garantizar que los responsables de la aplicacin del proceso de gestin del riesgo y los interesados conocer las bases en la que se toman las decisiones y las razones por las acciones particulares son obligatorios.
Un enfoque de equipo de consulta podr:
ayudar a establecer el marco adecuado; garantizar que los intereses de las partes interesadas son entendidas y consideradas; ayudar a asegurar que los riesgos estn adecuadamente identificados; traer las diferentes reas de especializacin as como para el anlisis de riesgos; asegurar que las opiniones diferentes son debidamente en cuenta la hora de definir criterios de riesgo y en la evaluacin de riesgos; seguro respaldo y apoyo para un plan de tratamiento; mejorar la gestin del cambio apropiados durante el proceso de gestin de riesgos, y desarrollar una comunicacin adecuada externa e interna y un plan de consulta.
Comunicacin y consulta con las partes interesadas es importante, ya que emitir juicios sobre el riesgo sobre la base de sus percepciones de riesgo. Estas percepciones pueden variar debido a diferencias en los valores, necesidades, suposiciones, conceptos y preocupaciones de los interesados. Como sus puntos de vista pueden tener un impacto significativo en las decisiones tomadas, percepciones de las partes interesadas deben ser identificados, registrados, y tomados en cuenta en la toma de decisionesproceso.
Comunicacin y la consulta debera facilitar veraz, relevante, exacta y comprensible intercambios de informacin, teniendo en cuenta los aspectos confidenciales y la integridad personal.
5.3 Establecer el contexto
5.3.1 General
Al establecer el contexto, la organizacin se articula y define sus objetivos internos y externos parmetros que deben tenerse en cuenta a la hora de gestin del riesgo, y establece el alcance y los criterios de riesgo para el proceso restante. Si bien muchos de estos parmetros son similares a los considerados en el diseo del riesgo marco de gestin (ver 4.3.1), al establecer el marco para el proceso de gestin de riesgos, se es necesario considerar con mayor detalle y sobre todo cmo se relacionan con el alcance de los riesgos particulares gestin de procesos.
5.3.2 Establecer el contexto externo
El contexto externo es el entorno externo en el que la organizacin pretende alcanzar sus objetivos. Comprender el contexto externo es importante para garantizar que los objetivos y preocupaciones de los exteriores los interesados se consideran en el desarrollo de criterios de riesgo. Se basa en el contexto de toda la organizacin, pero con los detalles especficos de los requisitos legales y reglamentarios, las percepciones de los interesados y otros aspectos de los riesgos especficos al mbito del proceso de gestin de riesgos.El contexto externo puede incluir, pero no se limita a:
Lo social y lo cultural, poltico, jurdico, reglamentario, financiero, tecnolgico, econmico, natural yentorno competitivo, ya sea internacional, nacional, regional o local;Factores clave y las tendencias que tienen un impacto sobre los objetivos de la organizacin, yrelaciones con las percepciones y los valores de las partes interesadas externas.
5.3.3 Establecer el contexto interno
El contexto interno es el ambiente interno en el que la organizacin pretende alcanzar sus objetivos.
El proceso de gestin de riesgos debe estar alineado con la cultura de la organizacin, procesos, estructura yestrategia. Contexto interno es cualquier cosa dentro de la organizacin que puede influir en la manera en que unaorganizacin gestionar el riesgo. Si se comprueba que:
a) la gestin de riesgos se lleva a cabo en el contexto de los objetivos de la organizacin;b) los objetivos y criterios de un determinado proyecto, proceso o actividad debe ser considerada a la luz deobjetivos de la organizacin en su conjunto, yc) algunas organizaciones no reconocen las oportunidades de lograr sus objetivos de proyecto estratgico, o de negocios,y esto afecta el compromiso continuo de organizacin, credibilidad, confianza y valor.
Es necesario entender el contexto interno. Esto puede incluir, pero no se limita a:
gobierno, estructura organizativa, las funciones y responsabilidades;Las polticas, los objetivos y las estrategias que existen para su realizacin;Capacidades, entendida en trminos de recursos y el conocimiento (por ejemplo, de capital, tiempo, personas, procesos,sistemas y tecnologas); las relaciones con los y las percepciones y los valores de las partes interesadas internas y la cultura de la organizacin;Sistemas de informacin, flujos de informacin y toma de decisiones (tanto formales como informales);las normas, directrices y modelos adoptados por la organizacin, yForma y el alcance de las relaciones contractuales. 5.3.4 Establecer el contexto del proceso de gestin de riesgos
Los objetivos, estrategias, alcance y los parmetros de las actividades de la organizacin, o las partes de la organizacin donde se desarrolla el proceso de gestin de riesgos aplicado, debe ser establecido. La gestin de riesgo debe realizarse con la plena consideracin de la necesidad de justificar los recursos utilizados en la realizacin de gestin de riesgos. Los recursos necesarios, las responsabilidades y autoridades, as como las actas que vaya a llevarse deben Tambin se especificarn. El contexto del proceso de gestin de riesgo vara de acuerdo a las necesidades de una organizacin. Puede implicar, pero no se limita a:
la definicin de las metas y objetivos de las actividades de gestin de riesgos;la definicin de responsabilidades y dentro de los proceso de gestin del riesgo;la definicin del alcance, as como la profundidad y amplitud de las actividades de gestin de riesgos que deben llevarse a cabo, incluyendo las inclusiones y exclusiones especficas; la definicin de la actividad, proceso, funcin, proyecto, producto, servicio o activo en trminos de tiempo y lugar;la definicin de las relaciones entre un determinado proyecto, proceso o actividad y otros proyectos, procesos o actividades de la organizacin;la definicin de las metodologas de evaluacin de riesgos; definir la forma en que se evalu el rendimiento y la eficacia en la gestin de riesgos; identificacin y especificacin de las decisiones que tienen que hacerse, yla identificacin, alcance o marcos estudios necesarios, su alcance y sus objetivos, y los recursos necesarios para tales estudios.La atencin a estos y otros factores relevantes debera contribuir a garantizar que el enfoque de gestin de riesgos adoptados es adecuado a las circunstancias, a la organizacin y los riesgos que afectan el logro de sus objetivos.
5.3.5 Definicin de criterios de riesgo
La organizacin debe definir los criterios que se utilizarn para evaluar la importancia del riesgo. Los criterios deben reflejan los valores de la organizacin, objetivos y recursos. Algunos criterios pueden ser impuestas por, o deriva de, requisitos legales y reglamentarios y otros requisitos que la organizacin suscriba. Los criterios de riesgo deben ser coherentes con la poltica de la organizacin de gestin de riesgos (vase 4.3.2), se defini al principio de cualquier proceso de gestin de riesgos y revisarse continuamente.Al definir los criterios de riesgo, factores a considerar deben incluir lo siguiente:
La naturaleza y los tipos de causas y consecuencias que pueden ocurrir y cmo se van a medir; Cmo probabilidad se define; El marco de tiempo (s) de la probabilidad y / o consecuencia (s); Cmo el nivel de riesgo es que se determine; Las opiniones de los interesados; El nivel en que se convierte en riesgo aceptable o tolerable, y Si las combinaciones de los mltiples riesgos que deben tenerse en cuenta y, en caso afirmativo, cmo y qu combinaciones deben ser consideradas.
5.4 Evaluacin de riesgos
5.4.1 General
Evaluacin de riesgos es el proceso general de identificacin de riesgos, anlisis de riesgos y evaluacin del riesgo.
NOTA IEC 31010 proporciona orientacin sobre las tcnicas de evaluacin de riesgos.
5.4.2 Identificacin del riesgo
La organizacin debe identificar las fuentes de riesgo, zonas de impactos, los eventos (incluyendo los cambios encircunstancias) y sus causas y sus posibles consecuencias. El objetivo de este paso es generar unalista completa de los riesgos sobre la base de los acontecimientos que puedan crear, mejorar, prevenir, degradar, acelerar oretrasar la consecucin de los objetivos. Es importante identificar los riesgos asociados a que no ejercen unaoportunidad. la identificacin completa es fundamental, porque el riesgo de que no se identifica en esta etapa no seincluidos en el anlisis posterior.
La identificacin debe incluir los riesgos o no su fuente se encuentra bajo el control de la organizacin, inclusoaunque la fuente de riesgo o causa puede no ser evidente. La identificacin del riesgo debe incluir el examen de los efectos en cadena de consecuencias particulares, como en cascada y los efectos acumulativos. Tambin debeconsiderar una amplia gama de consecuencias, incluso si la fuente de riesgo o causa puede no ser evidente. As comoidentificar lo que podra suceder, es necesario considerar las posibles causas y escenarios que muestran lo queconsecuencias pueden ocurrir. Todas las causas y consecuencias importantes deben ser consideradas.La organizacin debe aplicar herramientas de identificacin de riesgos y tcnicas que se adaptan a sus objetivos ycapacidades, y los riesgos que corren. Pertinente y actualizada informacin es importante en la identificacin de riesgos. Estadebe incluir informacin de antecedentes en su caso posible. Las personas con los conocimientos adecuados debenparticipar en la identificacin de riesgos.
5.4.3 Anlisis de riesgos
El anlisis de riesgos consiste en desarrollar una mayor comprensin del riesgo. El anlisis de riesgos proporciona una entrada al riesgo evaluacin y las decisiones sobre si los riesgos deben ser tratados, y en el tratamiento de los riesgos ms adecuadaestrategias y mtodos. El anlisis de riesgos tambin puede aportar su contribucin en la toma de decisiones en las que las opciones deben sery en las opciones implican diferentes tipos y niveles de riesgo.El anlisis de riesgos implica la consideracin de las causas y las fuentes de riesgo, su positivo y negativoconsecuencias y la probabilidad de que esas consecuencias pueden ocurrir. Factores que afectan a las consecuencias yriesgo deben ser identificados.
El riesgo se analiz mediante la determinacin de las consecuencias y su probabilidad, y otrosatributos del riesgo. Un evento puede tener mltiples consecuencias y puede afectar a mltiples objetivos. Existentecontroles y su eficacia y eficiencia tambin debe tenerse en cuenta.La forma en que las consecuencias y la probabilidad se expresan y la forma en que se combinan paradeterminar un nivel de riesgo debe reflejar el tipo de riesgo, la informacin disponible y el propsito para el cual elsalida de la evaluacin de riesgos se va a utilizar. Estos deben ser coherentes con los criterios de riesgo. Tambin es importanteconsiderar la interdependencia de los distintos riesgos y sus fuentes.La confianza en la determinacin del nivel de riesgo y su sensibilidad a las condiciones previas y las hiptesis debenser considerados en el anlisis, y comunicarse eficazmente a los tomadores de decisiones y, en su caso, otroslas partes interesadas. Factores tales como la divergencia de opinin entre los expertos, la incertidumbre, la disponibilidad, calidad, cantidady la pertinencia permanente de informacin, o las limitaciones en el modelado debera ser especificado y puede ser destacada.El anlisis de riesgos puede llevarse a cabo con diferentes grados de detalle, en funcin del riesgo, el objetivo delanlisis, y la informacin, datos y recursos disponibles. El anlisis puede ser cualitativo, semi cuantitativo ocuantitativos, o una combinacin de ambos, dependiendo de las circunstancias.
Las consecuencias y la probabilidad se pueden determinar mediante el modelado de los resultados de un evento o una serie de eventos,o mediante la extrapolacin de estudios experimentales o de los datos disponibles. Las consecuencias pueden ser expresadas en trminos de efectos tangibles e intangibles. En algunos casos, ms de un valor es numrico o descriptornecesarios para especificar las consecuencias y la probabilidad de diferentes pocas, lugares, grupos o situaciones.
5.4.4 Evaluacin de riesgos
El propsito de la evaluacin de riesgos es ayudar en la toma de decisiones, con base en los resultados de anlisis de riesgos, sobre riesgos que necesitan tratamiento y la prioridad para la aplicacin del tratamiento.La evaluacin del riesgo que supone la comparacin del nivel de riesgo detectado durante el proceso de anlisis con criterios de riesgoestablece cuando el contexto era considerado. En base a esta comparacin, la necesidad de que el tratamiento puede serconsiderado.
Las decisiones deben tener en cuenta el contexto ms amplio del riesgo y de incluir la consideracin de la tolerancia de los riesgos asumidos por partes distintas de la organizacin que se beneficia del riesgo. Las decisiones deben tomarse enconformidad con los requisitos legales, reglamentarios y de otro.
En algunas circunstancias, la evaluacin del riesgo puede llevar a una decisin de proceder a su posterior anlisis. El riesgoevaluacin tambin puede conducir a una decisin de no tratar el riesgo de cualquier otra forma de mantener los controles existentes.Esta decisin se ver influida por la actitud de riesgo de la organizacin y los criterios de riesgo que han sidoestablecidos.
5.5 Tratamiento del riesgo
5.5.1 General
El tratamiento del riesgo consiste en seleccionar una o ms opciones para modificar los riesgos, y la aplicacin de esas opciones.Una vez implementado, los tratamientos de proporcionar o modificar los controles.
El tratamiento de riesgos implica un proceso cclico de:
la evaluacin de un tratamiento de los riesgos; decidir si los niveles residuales de riesgo son tolerables; si no tolerables, generando un nuevo tratamiento de los riesgos, y evaluar la eficacia de ese tratamiento.
Riesgo opciones de tratamiento no son necesariamente excluyentes entre s o adecuado en todas las circunstancias. Las opcionespueden incluir los siguientes:
a) evitar el riesgo al decidir no iniciar o continuar con la actividad que dio lugar al riesgo;b) la toma o el aumento del riesgo con el fin de perseguir una oportunidad;c) eliminar la fuente de riesgo;d) los cambios en el riesgo;e) los cambios en las consecuencias;f) la distribucin del riesgo a otra parte o las partes (incluidos los contratos y la financiacin de riesgo), yg) mantener el riesgo por la decisin informada.
5.5.2 Seleccin de las opciones de tratamiento del riesgo
Seleccin de la opcin ms adecuada el tratamiento de riesgos consiste en equilibrar los costes y esfuerzos deaplicacin frente a los beneficios derivados, en lo que respecta a personas jurdicas, normativas y otros requisitos comoresponsabilidad social y la proteccin del medio ambiente natural. Las decisiones tambin deben tener en cuentariesgos que pueden justificar un tratamiento de riesgo que no est justificado por motivos econmicos, por ejemplo, grave (alta negativosconsecuencia), pero rara riesgos (riesgo bajo).Un nmero de opciones de tratamiento pueden ser consideradas y aplicadas de forma individual o en combinacin. Laorganizacin que normalmente se pueden beneficiar de la adopcin de una combinacin de opciones de tratamiento.Al seleccionar las opciones de tratamiento de riesgos, la organizacin debe considerar los valores y percepciones delas partes interesadas y los medios ms adecuados para comunicarse con ellos. Cuando las opciones de tratamiento del riesgo puedeimpacto sobre el riesgo en otras partes de la organizacin o con las partes interesadas, stas deben estar involucradas en la decisin.Aunque igual de efectivos, algunos tratamientos de riesgo pueden ser ms aceptables para algunos grupos de inters que a otros. El plan de tratamiento debe identificar claramente el orden de prioridad en que los tratamientos individuales de riesgo deben ser prctica. El tratamiento de los riesgos se puede introducir riesgos. Un riesgo significativo puede ser la insuficiencia o ineficacia de los riesgosmedidas de tratamiento. Seguimiento de las necesidades para ser una parte integral del plan de tratamiento del riesgo de dar garantas de quelas medidas siguen siendo eficaces. El tratamiento de riesgos tambin puede introducir riesgos secundarios que deben ser evaluados, tratados, controlados y revisados.Estos riesgos secundarios deben ser incorporados en el plan de tratamiento igual que el riesgo original y no se tratacomo un nuevo riesgo. El vnculo entre los dos riesgos debe ser identificado y mantenidos.
5.5.3 Elaborar e implementar planes de tratamiento de los riesgos
El propsito de los planes de tratamiento de los riesgos es documentar cmo las opciones de tratamiento elegido se llevarn a cabo.La informacin proporcionada en los planes de tratamiento debe incluir:
las razones para la seleccin de opciones de tratamiento, incluidos los beneficios que se espera obtener;Los que son responsables de aprobar el plan y los responsables de la ejecucin del plan; acciones propuestas;Requisitos de recursos, incluyendo contingencias;Medidas de rendimiento y las limitaciones;Informacin y control de los requisitos, yCalendario y horario.
Los planes de tratamiento deben ser integrados con los procesos de gestin de la organizacin y discutir conlos interesados que corresponda.Los tomadores de decisiones y otras partes interesadas deben ser conscientes de la naturaleza y el alcance del riesgo residual despus de los riesgos del tratamiento. El riesgo residual debe ser documentado y sometido a seguimiento, la revisin y, en sutratamiento adecuado, ms all.
5.6 Seguimiento y revisin
Tanto el seguimiento y la revisin debe ser una parte planificada del proceso de gestin de riesgos y participacin regularcontrol o vigilancia. Puede ser peridica o ad hoc.Las responsabilidades de seguimiento y de evaluacin deben estar claramente definidas.vigilancia de la organizacin y procesos de revisin debe abarcar todos los aspectos de la gestin del riesgoproceso a efectos de:
asegurar que los controles son eficaces y eficientes tanto en el diseo y funcionamiento; obtener ms informacin para mejorar la evaluacin de riesgos; analizar y aprender las lecciones de los acontecimientos (incluyendo a punto de chocar), los cambios, tendencias, xitos yfracasos; detectar cambios en el contexto externo e interno, incluidos los cambios en los criterios de riesgo y el propio riesgoque puede requerir una revisin de los tratamientos de riesgos y prioridades, yla identificacin de riesgos emergentes.
El progreso en la aplicacin de planes de tratamiento del riesgo proporciona una medida de rendimiento. Los resultados pueden serincorporados en la gestin de la organizacin rendimiento general, la medicin y externa e internaactividades de informacin.
Los resultados del monitoreo y de evaluacin deben ser registrados y en el exterior y de informacin interna, en su caso,y tambin debe utilizarse como un aporte para la revisin del marco de gestin de riesgo (ver 4.5).
5.7 El registro del proceso de gestin de riesgos
Las actividades de gestin de riesgos deberan ser rastreable. En el proceso de gestin del riesgo, proporcionar los registros pilar para la mejora en los mtodos y herramientas, as como en el proceso global.Las decisiones relativas a la creacin de registros deben tener en cuenta:
Necesidades de la organizacin para el aprendizaje continuo; Los beneficios de la reutilizacin de la informacin a efectos de gestin; Costos y esfuerzos involucrados en la creacin y el mantenimiento de registros; Las necesidades legales, reglamentarias y operativas de los archivos; Mtodo de acceso, la facilidad de recuperabilidad y medios de almacenamiento; Perodo de retencin, y La sensibilidad de la informacin.
Anexo A(Informativo)
Atributos de la mejor gestin del riesgo
A.1 General
Todas las organizaciones deberan tener por objeto el nivel adecuado de cumplimiento de su marco de gestin de riesgos en consonancia con el carcter crtico de las decisiones que se deben hacer. La lista de atributos a continuacin representa un alto nivel de actuacin en la gestin de riesgos. Para ayudar a las organizaciones en la medicin de su propia actuacin en contra de estos criterios, algunos indicadores tangibles se indican para cada atributo.
A.2 Entre los principales resultados
A.2.1 La organizacin tiene una comprensin actual, correcta y completa de sus riesgos.
A.2.2 riesgos de la organizacin estn dentro de sus criterios de riesgo.
A.3Atributos
A.3.1 Se hace hincapi en la mejora continua en la gestin del riesgo mediante el establecimiento demetas de desempeo organizacional, la medicin, la revisin y la posterior modificacin de los procesos, sistemas, recursos, capacidades y habilidades.Esto puede ser indicado por la existencia de objetivos de rendimiento explcito contra el que la organizacin y Performance Manager individuo se mide. El desempeo de la organizacin se pueden publicar y comunicado. Normalmente, no ser por lo menos una revisin anual de rendimiento y, a continuacin una revisin de procesos, y la fijacin de objetivos de rendimiento revisadas para el perodo siguiente. Esta gestin del riesgo evaluacin del desempeo es una parte integral del desempeo de la organizacin global deevaluacin y medicin del sistema para los departamentos y los individuos.
A.3.2 mejorada incluye la gestin de riesgos completo y totalmente definido y aceptado plenamente la rendicin de cuentasde riesgos, controles y tareas de riesgo del tratamiento. Las personas designadas aceptan plenamente la rendicin de cuentas, estn debidamente recursos suficientes y cualificados tienen que comprobar los controles, los riesgos monitor, mejorar los controles y comunicar eficaz sobre los riesgos y su gestin a los interesados externos e internos. Esto puede ser indicado por todos los miembros de una organizacin que est siendo plenamente consciente de los riesgos, controles y tareas para que sean responsables. Normalmente, esto se guardar en el Trabajo / descripciones de puestos, bases de datos o sistemas de informacin. La definicin de las funciones de gestin de riesgos, las responsabilidades y las responsabilidades debe estar parte de los programas de induccin de toda la organizacin. La organizacin garantiza que aquellos que son responsables estn equipados para cumplir esa funcin, proporcionndolescon la autoridad, tiempo, capacitacin, recursos y habilidades suficientes para asumir sus responsabilidades.
A.3.3 toma de decisiones dentro de la organizacin Todos, sea cual sea el nivel de importancia y significacin,implica la consideracin explcita de los riesgos y la aplicacin de gestin de riesgos en cierta medida apropiada.
Esto puede ser indicada por los registros de las reuniones y decisiones para mostrar que las discusiones explcitas sobre los riesgos se lugar. Adems, debera ser posible ver que todos los componentes de gestin de riesgos estn representados dentro deprocesos clave para la toma de decisiones en la organizacin, por ejemplo, para las decisiones sobre la asignacin de capital, sobre los grandes proyectos y en la reestructuracin y los cambios organizativos. Por estas razones, el riesgo de una base slida la gestin se ve dentro de la organizacin que ofrece la base para una gobernanza eficaz.
A.3.4 mejor gestin del riesgo se incluyen las comunicaciones continuas con la externa e interna interesadas, incluidas los informes completos y frecuentes de los resultados de gestin de riesgos, como parte deel buen gobierno. Esto puede ser indicado por la comunicacin con las partes interesadas como parte integrante y esencial de riesgo de gestin. La comunicacin es justamente como un proceso bidireccional, de manera que las decisiones debidamente informadas pueden hacerse sobre el nivel de riesgo y la necesidad de un tratamiento contra el riesgo debidamente establecida ycriterios generales de riesgo.
Amplia e informes frecuentes externa e interna en ambos riesgos significativos y en la gestin de riesgos desempeo contribuye sustancialmente a la gobernabilidad efectiva en una organizacin.
A.3.5 La gestin de riesgos se considera como elemento central de los procesos de gestin de la organizacin, de tal manera que los riesgosse consideran en trminos de efecto de la incertidumbre sobre los objetivos. La estructura de gobernanza y proceso son basado en la gestin del riesgo.Gestin efectiva del riesgo, a juicio de los administradores como esencial para laconsecucin de los objetivos de la organizacin.
Esto se indica por el lenguaje de los gerentes e importante material escrito en la organizacin el uso del trmino "Incertidumbre" en relacin con los riesgos. Este atributo tambin se refleja normalmente en las declaraciones de la organizacin de la poltica, en particular las relativas a la gestin del riesgo. Normalmente, este atributo se verifica a travs entrevistas con los directores ya travs de las pruebas de sus acciones y declaraciones.
Bibliografa
[1] Gua ISO 73:2009, Gestin del riesgo Vocabulario
[2] IEC 31010, Gestin del riesgo - las directrices de evaluacin de riesgos
