NORMA MEXICANA IMNCsgc.itmexicali.edu.mx/formatos/DOCUMENTOS EXTERNOS OK/Norma 31000 Y... · La...

NORMA MEXICANA IMNC

Gestión de riesgos — Principios y

directrices

Risk management – Principles and guidelines

ISO 31000:2009

NMX-SAST-31000-IMNC-2016

PROHIBIDA SU REPRODUCCIÓN PARCIAL O TOTAL – DERECHOS RESERVADOS © IMNC 2016

SINEC20160119131705417 ICS 03.100.01

Esta es una licencia que se otorga según lo establecido en la factura, quien no podrá utilizarla en un sistema de red informática, sistema de acceso simultáneo,unidad de proceso central múltiple, sistema multi-usuarios o similares, salvo autorización escrita del IMNC o su factura indique lo contrario. Los derechos de

explotación de las normas pertenecen exclusivamente al IMNC quien, otorga licencia de consulta al cliente responsable , JULIO C ROMERO GONZALEZ, de la Compañía: ITM, con e-mail: [email protected], Transacción: 1629.

Prohibida su reproducción parcial o total.

NMX-SAST-31000-IMNC-2016 ISO 31000:2009

Derechos Reservados © IMNC 2016

Reservados los derechos de reproducción. Salvo prescripción diferente, no podrá reproducirse ni utilizarse ninguna parte de esta publicación bajo ninguna forma y por ningún procedimiento, electrónico o mecánico, fotocopias y microfilms.

Derechos reservados © IMNC ®

Manuel María Contreras 133, 6º piso, Col. Cuauhtémoc

Estados Unidos Mexicanos, Ciudad de México, código postal 06500

Estados Unidos Mexicanos

Teléfono: + 52 55 55 46 45 46

Fax: + 52 55 55 46 45 46 ext. 6150

Correo electrónico: [email protected]

Página en internet: http://www.imnc.org.mx

Impreso en los Estados Unidos Mexicanos

SINEC20160119131705417 ICS 03.100.01

ii Derechos reservados © IMNC 2016




ISO 31000:2009 NMX-SAST-31000-IMNC-2016

SINEC20160119131705417 ICS 03.100.01

Derechos reservados © IMNC 2016 iii

Gestión de riesgos — Principios y directrices

NMX-SAST-31000-IMNC-2016

Prefacio

En la elaboración de la presente norma mexicana participaron las siguientes organizaciones:

Asesoría Integral en Salud y Seguridad en el Trabajo

Asociación de Normalización y Certificación, A.C.

Comisión Federal de Electricidad

Centro Nacional de Prevención de Desastres

Instituto Mexicano de Normalización y Certificación, A.C.

ITSEMAP STM

Normalización y Certificación Electrónica S.C.

Risk México, S.A. de C.V.

Servicios Profesionales en Seguridad e Higiene en el Trabajo

STPS/DGSST

PEMEX

Tecnología en Seguridad Integral, S.A. de C.V.

VOLKSWAGEN de México

VON MEIDING S.A. de C.V.

Neural Risk




NMX-SAST-31000-IMNC-2016 ISO 31000:2009

SINEC20160119131705417 ICS 03.100.01

iv Derechos reservados © IMNC 2016

Contenido

Prólogo de la norma internacional .................................................................................................................. vi

Introducción ..................................................................................................................................................... vii

1 Objetivo y campo de aplicación ...........................................................................................................1

2 Términos y definiciones ........................................................................................................................1

3 Principios ................................................................................................................................................7

4 Marco de referencia ...............................................................................................................................9 4.1 Generalidades ........................................................................................................................................9 4.2 Responsabilidades y compromisos ................................................................................................. 11 4.3 Diseño del marco de referencia para la gestión de riesgos ........................................................... 11 4.4 Implementación de la gestión de riesgos ........................................................................................ 14 4.5 Seguimiento y revisión del de referencia ......................................................................................... 14 4.6 Mejora continua del marco de referencia ......................................................................................... 15

5 Procesos .............................................................................................................................................. 15 5.1 Generalidades ..................................................................................................................................... 15 5.2 Comunicación y consulta .................................................................................................................. 16 5.3 Establecer el contexto ........................................................................................................................ 17 5.4 Evaluación del riesgo ......................................................................................................................... 19 5.5 Tratamiento de riesgo ........................................................................................................................ 21 5.6 Seguimiento y revisión ...................................................................................................................... 23 5.7 Registros del proceso de gestión de riesgo .................................................................................... 23

6 Concordancia con normas internacionales ..................................................................................... 23

Anexo A (informativo) Atributos de la mejora de la gestión de riesgos ..................................................... 24 A.1 Generalidades ..................................................................................................................................... 24 A.2 Resultados clave................................................................................................................................. 24 A.3 Atributos .............................................................................................................................................. 24

7 Bibliografía .......................................................................................................................................... 26




ISO 31000:2009 NMX-SAST-31000-IMNC-2016

SINEC20160119131705417 ICS 03.100.01

Derechos reservados © IMNC 2016 v

Prólogo

El Instituto Mexicano de Normalización y Certificación (IMNC) es una asociación civil, que cuenta con el Registro No. 0002/F como Organismo Nacional de Normalización (ONN), para elaborar, actualizar, expedir y cancelar Normas Mexicanas, con fundamento en los Artículos 39 fracción IV, 65 y 66 de la Ley Federal sobre Metrología y Normalización y 23 fracción IV del Reglamento Interior de la Secretaría de Economía, en el campo de Sistemas de Administración de la Seguridad y Salud en el Trabajo como se indica en el oficio número DGN.312.01.2000.137 de fecha 08 de mayo de 2000.

Se llama la atención sobre la posibilidad de que algunos de los elementos de esta norma mexicana puedan estar sujetos a derechos de patente. El IMNC no asume responsabilidad por la identificación de cualquiera o todos los derechos de patente, ni otorga licencias de uso sobre dichos derechos de patente.

La NMX-SAST-31000-IMNC-2016 ha sido elaborada por el Comité Técnico de Normalización Nacional de Sistemas de Administración de Seguridad y Salud en el Trabajo IMNC/COTENNSASST/SC 5 y el IMNC/COTENNSASST/SC 5/Grupo de Trabajo Guadalajara

Esta norma mexicana fue emitida por el Instituto Mexicano de Normalización y Certificación, A.C.; y su declaratoria de vigencia ha sido publicada por la Dirección General de Normas de la Secretaría de Economía, en el Diario Oficial de la Federación el 17 de mayo de 2017.




NMX-SAST-31000-IMNC-2016 ISO 31000:2009

SINEC20160119131705417 ICS 03.100.01

vi Derechos reservados © IMNC 2016

Prólogo de la norma internacional

ISO (la Organización Internacional de la normalización) es una federación mundial de organismos nacionales de la normalización (organismos miembros de ISO). El trabajo de preparación de las normas internacionales normalmente se realiza a través de los comités técnicos de la ISO. Cada organismo miembro interesado en un tema para la cual se haya establecido un comité técnico, tiene el derecho de estar representado en dicho comité. Las organizaciones internacionales, públicas y privadas, en coordinación con ISO, también participan en el trabajo. ISO colabora estrechamente con la Comisión Electrotécnica Internacional (IEC) en todas las materias de la normalización electrotécnica.

Las Normas Internacionales se redactan de acuerdo con las reglas establecidas en la Parte 2 de las directivas ISO/IEC.

La tarea principal de los comités técnicos es preparar Normas Internacionales. Los proyectos de las Normas Internacionales aceptados por los comités técnicos son enviados a los organismos miembros para votación. La publicación como norma internacional requiere la aprobación por al menos el 75% de los organismos miembros requeridos para votar.

Se llama la atención de la posibilidad de que algunos de los elementos de este documento puede ser objeto de derechos de patente. La organización internacional de normalización ISO no se hace responsable de la identificación de cualquier o todos los derechos de patente.

La Norma Internacional ISO 31000 fue preparada por el consejo de gestión técnica de ISO, grupo de trabajo de gestión de riesgos.




ISO 31000:2009 NMX-SAST-31000-IMNC-2016

SINEC20160119131705417 ICS 03.100.01

Derechos reservados © IMNC 2016 vii

Introducción

Organizaciones de todo tipo y tamaño, afrontan factores e influencias internas y externas que pueden hacer incierto el logro de sus objetivos. El efecto que esta incertidumbre tiene en los objetivos de las organizaciones es “riesgo”.

Todas las actividades de una organización involucran riesgos. Las organizaciones gestionan el riesgo mediante la identificación, el análisis y evalúan entonces como el riesgo debería modificarse a través de un tratamiento de riesgos, con el fin de satisfacer los criterios de riesgo. A lo largo de este proceso, el riesgo debería comunicarse y consultarse con las partes interesadas; se da seguimiento y se revisa el riesgo y los controles que están modificando el riesgo a fin de asegurar que no se requiera ningún otro tratamiento de riesgo adicional. Esta norma mexicana describe en detalle el proceso sistemático y lógico.

Mientras que todas las organizaciones gestionan los riesgos por algún acuerdo, esta norma mexicana establece los principios que deben cumplirse para ser satisfactoria y eficaz la gestión de riesgos. Esta norma mexicana recomienda a las organizaciones desarrollar, implementar y mejorar continuamente el marco de referencia, cuyo propósito es integrar el proceso para gestionar el riesgo en la organización, englobando la gobernabilidad, estrategias, planeación, documentación de procesos, políticas, valores y cultura.

La gestión de riesgos puede aplicarse a toda la organización, o en algunas de sus áreas o niveles, en cualquier momento, así como a las funciones específicas, proyectos y actividades.

Aunque la práctica de la gestión de riesgos ha sido desarrollada en el tiempo y dentro de muchos sectores a fin de satisfacer diversas necesidades, la adopción de procesos sistemáticos dentro de un marco de referencia puede ayudar a asegurar que el riesgo es gestionado eficaz, eficiente y coherentemente por la organización.

Un enfoque genérico se describe en esta norma mexicana que proporciona los principios y directrices para gestionar cualquier riesgo de manera sistemática, transparente y aceptable dentro de cualquier campo de aplicación y contexto.

Cada sector específico o aplicación de gestión de riesgos trae consigo necesidades individuales, audiencias, percepciones y criterios. Por lo tanto, una característica clave de esta norma es incluir el "establecimiento del contexto" como una actividad inicial del proceso genérico de gestión de riesgos.

Estableciendo el contexto se podrán capturar los objetivos de la organización, el entorno en el que se llevan a cabo estos objetivos, las partes interesadas y la diversidad de criterios de riesgo, lo cual ayudará a revelar y evaluar la naturaleza y la complejidad de sus riesgos.

La relación entre los principios de la gestión de riesgos, el marco de referencia en el que ocurren y el proceso de gestión de riesgo se muestra en la Figura 1 de esta norma.

La gestión de riesgos cuando se implementa y se sustenta de acuerdo con la norma mexicana, permite a una organización, por ejemplo:

aumentar la probabilidad de lograr objetivos;

fomenta la administración proactiva;

ser consciente de la necesidad de identificar y tratar el riesgo en toda la organización

mejora la identificación de oportunidades y amenazas;

cumplir con los requisitos legales, reglamentarios pertinentes y las normas internacionales;

mejorar los informes obligatorios y voluntarios;




NMX-SAST-31000-IMNC-2016 ISO 31000:2009

SINEC20160119131705417 ICS 03.100.01

viii Derechos reservados © IMNC 2016

mejorar la gobernabilidad

mejorar la credibilidad y confianza por las partes interesadas;

establecer bases confiables para la toma de decisiones y planificación;

mejorar controles

asignar y utilizar eficazmente los recursos para el tratamiento de riesgos

mejorar la eficacia y la eficiencia de la operación

mejora la salud y seguridad, así como la protección del medio ambiente

mejorar la prevención de pérdidas y la gestión de incidentes;

minimizar las pérdidas;

mejorar el aprendizaje de la organización; y

mejorar la resiliencia de la organización

Esta norma mexicana tiene la intención de satisfacer las necesidades de una amplia gama de partes interesadas, incluyendo:

a) los responsables de desarrollar la política de gestión de riesgos dentro de su organización;

b) los responsables de asegurar que el riesgo se gestione con eficacia dentro de la organización en su conjunto o en un área, proyecto o actividad específica;

c) quienes evaluaran la eficacia de la gestión de riesgos dentro de la organización;

d) los desarrolladores de normas, guías, procedimientos y códigos de prácticas que, en todo o en parte, establece cómo el riesgo se va a gestionar en el contexto específico de estos documentos.

Las actuales prácticas de gestión y procesos en muchas organizaciones, incluyen componentes de gestión de riesgos, y muchas organizaciones ya han adoptado un proceso de gestión de riesgos formalmente para tipos de riesgos o circunstancias particulares, En estos casos, una organización puede decidir llevar a cabo una evaluación critica de sus prácticas y procesos existentes en términos de la presente norma mexicana.

Las expresiones "gestión del riesgo" y "gestionar el riesgo" en esta norma mexicana, son utilizados. En términos generales, la "gestión del riesgo" se refiere a la arquitectura (principios, estructura y proceso) para una gestión de riesgos eficaz, mientras que "gestionar el riesgo" se refiere a la aplicación del diseño a riesgos particulares.




ISO 31000:2009 NMX-SAST-31000-IMNC-2016

SINEC20160119131705417 ICS 03.100.01

Derechos reservados © IMNC 2016 ix

a)

cre

ar

valo

r

b)

pa

rte

in

teg

ral d

e los p

rocesos

org

aniz

acio

nale

s

c)

pa

rte

de

la

tom

a

de

decis

ione

s

d)

consid

era

ció

n e

xplic

ita d

e l

a

incert

idum

bre

e)

sis

tem

ática,

estr

uctu

rada

y

opo

rtu

na

f)

basad

a

en

la

mejo

r

info

rmació

n d

ispo

nib

le

g)

hecho a

la

medid

a

h)

tom

a e

n c

ue

nta

los f

acto

res

hum

an

os y

cultura

les

i) tra

nspa

ren

te e

in

clu

yente

j)

din

am

ism

o,

inte

ractivid

ad

y

sensib

le a

l ca

mbio

k)

Facili

ta l

a m

ejo

ra c

ontin

ua

y

gen

era

l d

e la

org

aniz

ació

n

Figura 1— Relación entre los componentes del marco de referencia para la gestión de riesgos




SIN TEXTO




ISO 31000:2009 NMX-SAST-31000-IMNC-2016

SINEC20160119131705417 ICS 03.100.01

Derechos reservados © IMNC 2016 1

Gestión de riesgos — Principios y directrices

1 Objetivo y campo de aplicación

Esta norma mexicana proporciona principios y directrices de carácter genérico sobre la gestión de riesgos.

Esta norma mexicana puede ser utilizada por cualquier organización pública, privada o comunidad empresarial, asociación, grupo o persona. Por lo tanto, esta norma no es específica para ninguna industria o sector.

NOTA Para mayor comodidad, todos los usuarios de esta norma se denominan con el término general de "Organización".

Esta norma mexicana puede ser aplicada durante la vida de una organización, y para un amplio rango de actividades, incluyendo estrategias y decisiones, operaciones, procesos, funciones, proyectos, productos, servicios y activos.

Esta norma mexicana puede aplicarse a cualquier tipo de riesgo de cualquier naturaleza, tenga consecuencias positivas o negativas.

Esta norma mexicana proporciona directrices genéricas, no tiene como propósito promover la uniformidad en la gestión del riesgo a través de las organizaciones. El diseño y la implementación de los planes de la gestión de riesgos y el marco de referencia pueden tomar en cuenta algunas consideraciones dependiendo de las necesidades de una organización en específico, sus objetivos particulares, contexto, estructura, operaciones, procesos, funciones, proyectos, productos, servicios, activos y prácticas específicas de trabajo.

Esta norma mexicana se propone emplearse para armonizar los procesos de gestión del riesgo para normas existentes y futuras. Esta norma proporciona un enfoque común en apoyo a normas relacionadas con riesgos específicos o sectores y no reemplazan a estas normas.

Esta norma mexicana no está destinado a propósitos de certificación.

2 Términos y definiciones

Para los propósitos de esta norma mexicana, se aplican los términos y definiciones siguientes:

2.1 riesgo efecto de la incertidumbre en los objetivos

NOTA 1 Un efecto es una desviación positiva y/o negativa, de lo esperado.

NOTA 2 Los objetivos pueden tener diferentes aspectos (tales como financiero, de salud y seguridad, y metas ambientales) y pueden aplicarse a diferentes niveles (a nivel estratégico, a nivel de toda la organización, a nivel de un proyecto, de un

producto y de un proceso).

NOTA 3 El riesgo, frecuentemente se caracteriza en relación a eventos (2.17) y a consecuencias (2.18) potenciales, o a

una combinación de éstos.

NOTA 4 El riesgo, frecuentemente se expresa en términos de una combinación de las consecuencias de un evento (incluyendo los cambios en las circunstancias) y la probabilidad (2.19) de ocurrencia asociada.

NOTA 5 La incertidumbre es el estado, incluso parcial, de la deficiencia de información relativa al, entendimiento o conocimiento de, un evento, sus consecuencias o probabilidad.




NMX-SAST-31000-IMNC-2016 ISO 31000:2009

SINEC20160119131705417 ICS 03.100.01

2 Derechos reservados © IMNC 2016

[ISO Guide 73:2009, definición 1.1]

2.2 gestión de riesgos actividades coordinadas para dirigir y controlar una organización con relación al riesgo (2.1.)


2.3 marco de referencia de la gestión de riesgos conjunto de componentes que proveen los fundamentos y disposiciones organizacionales para el diseño, implementación, seguimiento (2.28), revisión y mejora continua de la gestión de riegos (2.2) en toda la organización

NOTA 1 Los fundamentos incluyen la política, los objetivos, el mandato y el compromiso para gestionar el riesgo (2.1).

NOTA 2 Las disposiciones organizacionales incluyen planes, relaciones, rendición de cuentas, recursos, procesos y actividades.

NOTA 3 El marco de referencia de la gestión de riesgo está incluido dentro de la estrategia global de la organización, y sus prácticas y políticas operativas.

[ISO Guide 73:2009, definición 2.1.1]

2.4 política de la gestión de riesgos declaración de las intenciones y directrices globales de una organización relacionadas con la gestión de riesgos (2.2)


2.5 actitud ante el riesgo enfoque de la organización para valorar y eventualmente seguir, retener, tomar o rechazar el riesgo (2.1)

[ISO Guide 73:2009, definición 3.7.1.1]

2.6 plan de la gestión del riesgo programa dentro del marco de referencia de la gestión de riesgo (2.3) que especifica el enfoque, los componentes y los recursos para ser aplicados a la gestión del riesgo (2.1)

NOTA 1 La gestión de los componentes generalmente incluyen procedimientos, prácticas, asignación de responsabilidades,

secuencias y calendarización de actividades.

NOTA 2 El plan de la gestión del riesgo puede ser aplicado a un producto en particular, proceso, proyecto y a una parte o a

toda la organización.


2.7 dueño del riesgo persona o entidad con la redición de cuentas y autoridad para gestionar un riesgo (2.1)





ISO 31000:2009 NMX-SAST-31000-IMNC-2016

SINEC20160119131705417 ICS 03.100.01


2.8 proceso de la gestión de riesgo aplicación sistemática de políticas de la gestión del riesgo, procedimientos y prácticas para las actividades de comunicación, consulta, establecimiento de contexto, identificación, análisis, evaluación, tratamiento, seguimiento (2.28) y revisión del riesgo (2.1)


2.9 establecimiento del contexto definir los parámetros internos y externos para ser tomados en cuenta cuando se gestiona el riesgo y establecer el alcance y los criterios de riesgo (2.22) para la política de la gestión de riesgo (2.4)


2.10 contexto externo ambiente externo en el que la organización busca alcanzar sus objetivos

NOTA El contexto externo puede incluir:

ambiente cultural, social, político, legal, reglamentario, financiero, tecnológico, económico, natural y competitivo, sea internacional, nacional, regional o local;

factores clave y tendencias que tienen un impacto determinante en los objetivos de la organización; y

relaciones con las partes interesadas (2.13) externa, sus percepciones y valores.


2.11 contexto interno ambiente interno en el que la organización busca alcanzar sus objetivos

NOTA El contexto interno (3.2.3) puede incluir:

la gobernabilidad, la estructura de organización, los roles y la rendición de cuentas;

las políticas, los objetivos, y las estrategias que se han establecido para alcanzarlos;

las capacidades entendidas en términos de recursos y conocimiento (por ejemplo, capital, tiempo, personal, procesos,

sistemas y tecnologías);

los sistemas de información, los flujos de la información y los procesos de toma de decisiones (formales e informales);

relaciones con las partes interesadas internas, sus percepciones y valores

la cultura de la organización;

las normas, guías y modelos adoptados por la organización, y

la forma y extensión de las relaciones contractuales.





NMX-SAST-31000-IMNC-2016 ISO 31000:2009

SINEC20160119131705417 ICS 03.100.01


2.12 comunicación y consulta procesos continuos e iterativos que una organización conduce para proporcionar, compartir u obtener la información y establecer el diálogo con las partes interesadas (2.1.3) respecto a la gestión de riesgo (2.1)

NOTA 1 La información puede relacionarse a la existencia, naturaleza, forma, probabilidad (2.19), significancia, evaluación,

aceptabilidad y tratamiento de la gestión de riesgo.

NOTA 2 La consulta es un proceso de dos sentidos de comunicación informada entre una organización y sus partes

interesadas sobre un tema antes de tomar una decisión o determinar una directriz a ese tema. La consulta es:

un proceso que impacta sobre una decisión a través de influencia en lugar del poder; y

una entrada para la toma de decisiones, no una toma de decisiones conjunta.


2.13 parte interesada persona u organización que puedan afectar, ser afectadas, o percibirse que se afectarán por una decisión o una actividad

NOTA 1 Un responsable de tomar decisiones es también una parte interesada.

NOTA 2 En las normas mexicanas NMX-SAST-001-IMNC (ver Bibliografía) y NMX-SAST-002-IMNC (ver Bibliografía) se define este término como “persona o grupo, dentro o fuera del lugar de trabajo, preocupada con o afectada por el desempeño

de SST de una organización”.


2.14 evaluación de riesgo proceso general que incluye: la identificación del riesgo (2.15), el análisis del riesgo (2.21) y la valoración del riesgo (2.24)


2.15 identificación de riesgo proceso de búsqueda, reconocimiento y descripción de riesgos (2.1)

NOTA 1 La identificación del riesgo, involucra la identificación de las fuentes de riesgo (2.16), eventos (2.17), sus causas y sus consecuencias (2.18) potenciales.

NOTA 2 La identificación de riesgo puede involucrar datos históricos, análisis teórico, informes y opiniones de expertos, y necesidades de la partes interesadas (2.13).


2.16 fuente de riesgo elemento que por sí mismo, o en combinación, tiene el potencial de dar lugar a un riesgo (2.1)





ISO 31000:2009 NMX-SAST-31000-IMNC-2016

SINEC20160119131705417 ICS 03.100.01


2.17 evento ocurrencia o cambio de un conjunto de circunstancias, en particular

NOTA 1 Un evento puede ser uno o más sucesos y puede tener varias causas.

NOTA 2 Un evento puede consistir en algo que no ha sucedido.

NOTA 3 Un evento puede ser algunas veces calificado como “incidente” o “accidente”.

NOTA 4 Un evento sin consecuencias (2.18) puede también ser llamado “cuasi accidente”, “incidente”, “suceso próximo”.


2.18 consecuencia resultado de un evento (2.17) que afecta a los objetivos

NOTA 1 Un evento puede llevar a una gran variedad de consecuencias

NOTA 2 Una consecuencia puede ser cierta o incierta y puede tener efectos positivos o negativos en los objetivos.

NOTA 3 Las consecuencias se pueden ser expresadas cualitativa o cuantitativa.

NOTA 4 Las consecuencias iniciales pueden incrementarse a través de efectos encadenados.


2.19 probabilidad eventualidad de que algo suceda

NOTA 1 En la terminología de gestión de riesgo, el término “likelihood” se usa para referirse a la posibilidad de que algo

ocurra, ya sea que esté definido, medido o determinado objetiva o subjetivamente, cualitativa o cuantitativamente, y descrito en palabras o matemáticamente [como una probabilidad o una frecuencia en un período dado de tiempo].

NOTA 2 El término en inglés “likelihood” no tiene equivalente directo en algunos idiomas; en su lugar, con frecuencia se usa un equivalente del término “probability”; sin embargo, en inglés, “probability” frecuentemente se interpreta estrechamente como

un término matemático; por lo tanto, en la terminología de la gestión de riesgo, “likelihood” se utiliza con la intención de que deba tener la misma interpretación amplia que el término “probability” tiene en muchos lenguajes diferentes al inglés.


2.20 perfil del riesgo descripción de cualquier conjunto de riesgos (2.1)

NOTA El conjunto de riesgos que pueden contener los que se refieren a toda la organización, parte de la organización o según se defina relacionen con la organización, o parte de la organización, o según lo definido de otra manera.


2.21 análisis de riesgo proceso para comprender la naturaleza del riesgo (2.1) y determinar el nivel de riesgo (2.23)

NOTA 1 El análisis del riesgo (2.24) proporciona las bases para la valoración de riesgo (2.24) y las decisiones acerca del

tratamiento del riesgo. Esta es una licencia que se otorga según lo establecido en la factura, quien no podrá utilizarla en un sistema de red informática, sistema de acceso simultáneo,

unidad de proceso central múltiple, sistema multi-usuarios o similares, salvo autorización escrita del IMNC o su factura indique lo contrario. Los derechos deexplotación de las normas pertenecen exclusivamente al IMNC quien, otorga licencia de consulta al cliente responsable ,

JULIO C ROMERO GONZALEZ, de la Compañía: ITM, con e-mail: [email protected], Transacción: 1629.Prohibida su reproducción parcial o total.

NMX-SAST-31000-IMNC-2016 ISO 31000:2009

SINEC20160119131705417 ICS 03.100.01


NOTA 2 El análisis del riesgo incluye la estimación de riesgo.


2.22 criterios de riesgo términos de referencia contra los cuales se evalúa la importancia de un riesgo (2.1)

NOTA 1 Los criterios de riesgo se basan en los objetivos organizacionales, en el contexto externo (2.10) y en el contexto interno (2.11).

NOTA 2 Los criterios de riesgo (3.2.4) pueden derivarse de normas, leyes, políticas y de otros requerimientos.


2.23 nivel de riesgo magnitud de un riesgo (2.1) o de una combinación de riesgos, expresada en términos de la combinación de las consecuencias (2.18) y de su probabilidad (2.19)


2.24 valoración de riesgo proceso de comparar los resultados del análisis del riesgo (2.21) con los criterios de riesgo (2.22) para determinar si el riesgo (2.1) o su magnitud es aceptable o tolerable

NOTA La valoración de riesgo ayuda en la toma decisiones al tratamiento del riesgo (2.25).


2.25 tratamiento de riesgo proceso para modificar un riesgo (2.1)

NOTA 1 El tratamiento de riesgos puede incluir:

evitar el riesgo mediante la decisión de no iniciar o continuar con la actividad que da lugar al riesgo;

tomar o aumentar el riesgo con el fin de perseguir una oportunidad;

remover la fuente del riesgo (2.16);

cambiar la probabilidad (2.19)

cambiar las consecuencias (2.18)

compartir el riesgo con otra parte o partes (incluidos los contratos y el financiamiento de riesgo), y

retener el riesgo mediante una decisión informada.

NOTA 2 Los tratamientos del riesgo que manejan las consecuencias negativas, a veces se conocen como “mitigación del riesgo”, “eliminación del riesgo”, prevención del riesgo” y “reducción del riesgo”.

NOTA 3 El tratamiento del riesgo puede crear nuevos riesgos o modificar los riesgos existentes.

[ISO Guide 73:2009, definición 3.8.1] Esta es una licencia que se otorga según lo establecido en la factura, quien no podrá utilizarla en un sistema de red informática, sistema de acceso simultáneo,



ISO 31000:2009 NMX-SAST-31000-IMNC-2016

SINEC20160119131705417 ICS 03.100.01


2.26 control medida en que un riesgo (2.1) es modificado

NOTA 1 Los controles incluyen cualquier proceso, política, dispositivo, práctica, u otras acciones que modifiquen el riesgo.

NOTA 2 Los controles pueden no siempre ejercer el efecto modificador pretendido o supuesto.


2.27 riesgo residual riesgo (2.1) que permanece después del tratamiento del riesgo (2.25)

NOTA 1 El riesgo residual puede contener un riesgo (2.1.1) no identificado.

NOTA 2 El riesgo residual también es conocido como “riesgo retenido”.


2.28 seguimiento revisión continua, supervisión, observación crítica o determinación del estado actual para identificar cambios en el nivel de desempeño requerido o esperado

NOTA La vigilancia puede aplicarse al marco de referencia de la gestión de riesgo (2.3), al proceso de gestión de riesgo (2.8), al riesgo (2.1) o al control (2.26).


2.29 revisión actividad tomada para determinar la idoneidad, adecuación y eficacia de las condiciones para alcanzar los objetivos establecidos

NOTA La revisión se puede aplicar a un marco de referencia de la gestión de riesgo (2.3), al proceso de la gestión

de riesgos (3.1), riesgo (2.1) o control (2.26).


3 Principios

Para que la gestión de riesgos sea eficaz, una organización debería cumplir en todos los niveles, con los siguientes principios:

a) La gestión de riesgos crea y protege el valor.

La gestión de riesgos contribuye a un cumplimiento demostrable de los objetivos y a la mejora del desempeño, por ejemplo en; seguridad y salud humana, seguridad patrimonial, cumplimiento legal y de reglamentario, aceptación del público (imagen, percepción y aceptación), protección ambiental, calidad del producto, gestión de proyectos, eficiencia en la operación, autoridad y prestigio.

b) La gestión de riesgos es una parte integral de todos los procesos de la organización.

La gestión de riesgos no es una actividad independiente de los principales procesos y actividades de la organización. La gestión de riesgos es parte de las responsabilidades de la dirección y un componente integral de




NMX-SAST-31000-IMNC-2016 ISO 31000:2009

SINEC20160119131705417 ICS 03.100.01


todos los procesos de la organización, incluyendo la planificación estratégica y, todos los proyectos y cambios en los procesos de gestión.

c) La gestión de riesgos es parte de la toma de decisiones.

La gestión de riesgos ayuda a los responsables de tomar decisiones a efectuar elecciones informadas, priorizar acciones y decidir entre varias alternativas.

d) La gestión de riesgos de manera explícita considera la incertidumbre.

La gestión de riesgos de manera explícita considera la incertidumbre, su naturaleza y cómo se puede direccionar.

e) La gestión de riesgos es sistemática, estructurada y programada.

Un enfoque sistemático, estructurado y programado de la gestión de riesgos, contribuye a la eficiencia, la consistencia y la obtención de resultados confiables y comparables.

f) La gestión de riesgos está basada en la mejor información disponible.

Las entradas para los procesos de la gestión de los riesgos está basada en fuentes de información tales como: datos históricos, experiencia, retroalimentación de las partes interesadas, observación, pronósticos y juicio del experto. Sin embargo, los responsables de tomar decisiones deberían tomar en consideración la información por ella misma y la limitación de los datos o modelos usados, o la posibilidad de la divergencia de opiniones entre expertos.

g) La gestión de riesgos está hecha a la medida de la organización.

La gestión de riesgos está alineada con los contextos interno y externo de la organización y con su perfil de riesgos

h) La gestión de riesgos considera los factores humanos y culturales.

La gestión de riesgos reconoce las capacidades, percepciones e intenciones de las personas internas y externas que pueden facilitar o entorpecer el logro de los objetivos de la organización.

i) La gestión de riesgos es transparente e incluyente.

El involucramiento apropiado y oportuno de las partes interesadas, en particular, de los responsables de tomar decisiones de todos los niveles de la organización, asegura que la gestión de riesgos permanezca pertinente y actualizada. El involucramiento permite que las partes interesadas estén apropiadamente representadas y sus puntos de vista sean considerados en la determinación de criterios de riesgo.

j) La gestión de riesgos es dinámica, reiterativa y sensible a los cambios.

La gestión de riesgos es continuamente sensible y responde a los cambios. Cuando ocurren eventos internos o externos, el contexto y el conocimiento cambian, cuando el seguimiento y la revisión de los riesgos se llevan a cabo, nuevos riesgos se manifiestan, algunos se modifican y otros desaparecen.

k) La gestión de riesgos facilita la mejora continua y general de la organización.

Las organizaciones deberían desarrollar e implementar estrategias para incrementar la madurez de su gestión de riesgos, conjuntamente con todos los demás aspectos de la organización.

El Anexo A proporciona otras recomendaciones para las organizaciones que deseen gestionar los riesgos de manera eficaz.




ISO 31000:2009 NMX-SAST-31000-IMNC-2016

SINEC20160119131705417 ICS 03.100.01


4 Marco de referencia

4.1 Generalidades

El éxito de la gestión de riesgos depende de la eficacia con que el marco de referencia proporcione los fundamentos y las disposiciones que van a permear a través de todos los niveles de la organización. El marco de referencia ayudará a una eficaz gestión de los riesgos a través de la aplicación del proceso de la gestión de riesgos (ver clausula 5), en los diferentes niveles y en el contexto especifico de la organización. El marco de referencia asegura que la información acerca de los riesgos, derivada del proceso de gestión de riesgos, sea adecuadamente reportada y utilizada como base para la toma de decisiones y el rendimiento de cuentas en todos los niveles relevantes de la organización.

Esta cláusula describe los componentes necesarios para el marco de referencia, para la gestión de riesgos y la forma en que estos se interrelacionan de una manera interactiva, tal como se muestra en la Figura 2.




NMX-SAST-31000-IMNC-2016 ISO 31000:2009

SINEC20160119131705417 ICS 03.100.01


Figura 2 — Relación entre los componentes del marco de referencia para la gestión de riesgos

Este marco de referencia no pretende establecer un sistema de gestión, sino más bien, ayudar a la organización a integrar la gestión de riesgos dentro de su sistema de gestión global. Por lo tanto, las organizaciones deberían adaptar los componentes del marco de referencia a sus necesidades específicas.

Si en la organización ya existen procesos y prácticas de gestión que incluyen componentes de la gestión de riesgos o si la organización ha adoptado ya un proceso de gestión para sus particulares tipos y situaciones de riesgo, entonces estos deberían ser revisados y valorados críticamente, contrastándolos contra esta norma mexicana, incluyendo los atributos incluidos en el Anexo A, a fin de determinar su adecuación y eficacia.

Responsabilidades y compromisos

Diseño del marco de referencia para la gestión de riesgos (4.3)

Compresión de la organización y su contexto (4.3.1)

Estableciendo la política para la gestión de riesgos (4.3.2)

Responsabilidades (4.3.3)

Integración a los procesos de la organización (4.3.4)

Recursos (4.3.5)

Estableciendo los mecanismos de comunicación interna y los mecanismos de informe (4.3.6)

Estableciendo la comunicación externa y los mecanismos de información (4.3.7)

Mejora continua del marco de referencia (4.6) Implementación de la gestión de riesgos (4.4)

Implementación del marco de referencia para gestionar

riesgos (4.4.1)

Implementación del proceso de gestión de riesgos (4.4.2)

Seguimiento y revisión del marco de referencia (4.5)




ISO 31000:2009 NMX-SAST-31000-IMNC-2016

SINEC20160119131705417 ICS 03.100.01


4.2 Responsabilidades y compromisos

La introducción de la gestión de riesgos y su eficaz implementación en una organización, requieren de un compromiso firme y sostenido por parte de la dirección de la organización así como una estratégica y rigurosa planeación para lograr el compromiso en todos los niveles. La dirección debería:

definir y aprobar la política de gestión de riesgos;

garantizar que la cultura de la organización y la política de gestión de riesgos estén alineadas;

determinar indicadores de desempeño de la gestión de riesgos que estén alineados con los indicadores de desempeño de la organización;

alinear los objetivos de la gestión del riesgos con los objetivos y estrategias de la organización;

garantizar el cumplimiento legal y regulatorio;

asignar responsabilidades y rendimiento de cuentas en los niveles apropiados dentro de la organización;

garantizar que los recursos necesarios sean destinados a la gestión de riesgos;

comunicar los beneficios de la gestión de riesgos a todos los interesados; y

asegurar que el marco de referencia para la gestión de riesgos continúe siendo el adecuado para la organización.

4.3 Diseño del marco de referencia para la gestión de riesgos

4.3.1 Comprensión de la organización y de su contexto

Antes de iniciar el diseño y la implementación del marco de referencia para la gestión de riesgos, es importante evaluar y entender tanto el contexto interno como el externo de la organización, ya que ambos pueden incidir significativamente en el diseño del marco de referencia.

La evaluación del contexto externo de la organización debería incluir, pero no está limitado a:

a) el ambiente social y cultural, político, legal, reglamentario, financiero, tecnológico, económico, y competitivo, en sus niveles internacional, nacional, regional o local;

b) los factores clave y las tendencias que impacten en los objetivos de la organización; y

c) las relaciones con las partes interesadas externas y las percepciones y los valores de estos.

La evaluación del contexto interno de la organización debería incluir, pero no se limita a:

autoridad, estructura organizacional, funciones y responsabilidades;

políticas, objetivos y las estrategias que están utilizándose para alcanzarlos;

capacidades, entendidas en términos de recursos y conocimientos (por ejemplo; capital, tiempo, personas, procesos, sistemas y tecnologías);

sistemas de información, flujos de información y procesos de toma de decisiones (tanto formales como informales);




NMX-SAST-31000-IMNC-2016 ISO 31000:2009

SINEC20160119131705417 ICS 03.100.01


las relaciones con las partes interesadas internas y las percepciones y los valores de estos;

la cultura organizacional;

normas, directrices y modelos adoptados por la organización; y

la forma y el alcance de las relaciones contractuales.

4.3.2 Estableciendo la política para la gestión de riesgos

La política de gestión de riesgos debería establecer claramente los objetivos de la organización y su compromiso con la gestión de riesgos. Generalmente incluye lo siguiente:

los fundamentos de la organización para la gestión de riesgos;

los vínculos entre los objetivos y las políticas de la organización, con la política de gestión de riesgos;

la rendición de cuentas y responsabilidades para la gestión de riesgos;

la forma en que los conflictos de interés serán atendidos;

el compromiso de revisar y mejorar periódicamente la política de gestión de riesgos y el marco de referencia en respuesta a un evento o cambio en las circunstancias.

la forma en que los resultados de la gestión de riesgos serán medidos y reportados; y

el compromiso de revisar y mejorar periódicamente la política de gestión de riesgos y el marco de referencia y así como en respuesta a un suceso o cambio en las circunstancias.

La política de gestión de riesgos debería comunicarse adecuadamente.

4.3.3 Rendición de cuentas

La organización debería garantizar que exista rendición de cuentas, autoridad y competencias adecuadas para la gestión de riesgos, incluyendo la implementación y el mantenimiento del proceso de gestión de riesgos y asegurando su adecuación, la eficacia y la eficiencia de los controles. Esto puede ser facilitado por:

identificar a los propietarios de los riesgos, mismos que tienen la responsabilidad y la autoridad para gestionar los riesgos;

identificar quién es el responsable de rendir cuentas por el desarrollo, implementación y mantenimiento del marco de referencia de la gestión de riesgos;

identificar otras responsabilidades en todos los niveles de la organización para el proceso de gestión de riesgos;

establecer la medición del desempeño y los reportes externos y/o internos, así como los procesos de escalamiento; y

garantizar adecuados niveles de reconocimiento.

4.3.4 Integración a los procesos de la organización

La gestión de riesgos debería estar integrada en todas las prácticas y los procesos de la organización, de manera pertinente, eficaz y eficiente. El proceso de gestión de riesgos debería formar parte de, y no estar separado de los




ISO 31000:2009 NMX-SAST-31000-IMNC-2016

SINEC20160119131705417 ICS 03.100.01


procesos de la organización. Particularmente, la gestión de riesgos debería ser integrada en el desarrollo de la política, la planeación estratégica y de negocios, así como la revisión y cambios en los procesos de gestión.

Debería haber un de plan de gestión de riesgos que incluya a toda la organización que asegure que la política de gestión de riesgos sea implementada y esté integrada en todas las prácticas y procesos de la organización. El plan de gestión de riesgos puede ser integrado dentro de los otros planes de la organización, tales como un plan estratégico.

4.3.5 Recursos

La organización debería asignar los recursos suficientes para la gestión de riesgos.

Se debería considerar lo siguiente

personal, habilidades, experiencia y competencia;

los recursos necesarios para cada paso del proceso de gestión de riesgos;

los procesos de la organización, métodos y herramientas que se utilizarán para la gestión de riesgos;

procesos y procedimientos documentados;

los sistemas de gestión de la información y el conocimiento;

los programas de formación.

4.3.6 Establecimiento de los mecanismos de información y comunicación interna

La organización debería establecer los mecanismos de información y comunicación interna con el fin de exhortar y apoyar la rendición de cuentas y la propiedad del riesgo. Estos mecanismos deberían asegurar que:

los componentes clave del marco de referencia de la gestión de riesgos, y cualquier modificación posterior, son comunicados apropiadamente;

existen informes internos adecuados sobre el marco de referencia, su eficacia y salidas;

la información pertinente derivada de la aplicación de la gestión de riesgos está disponible en los niveles y tiempos apropiados; y

existen los procesos de consulta con las partes interesadas internas.

Estos mecanismos deberían, cuando sea apropiado, incluir procesos para consolidar la información sobre los riesgos, de una diversidad de fuentes, y podrían tener en cuenta la sensibilidad de la información.

4.3.7 Establecimiento de los mecanismos de información y comunicación externa

La organización debería desarrollar e implementar un plan de cómo se comunicará con las partes interesadas externas. Este debería involucrar:

la participación adecuada de las parte interesadas externas y asegurar un efectivo intercambio de información;

los informes externos para cumplir con los requerimientos legales, reglamentarios y de gobierno;

proporcionar retroalimentación e información acerca de la comunicación y consulta;




NMX-SAST-31000-IMNC-2016 ISO 31000:2009

SINEC20160119131705417 ICS 03.100.01


la comunicación para construir la confianza en la organización; y

la comunicación con las partes interesadas en el caso de una crisis o contingencia.

Estos mecanismos deberían, cuando sea apropiado, incluir procesos para consolidar la información sobre los riesgos, de una diversidad de fuentes, y podrían tener en cuenta la sensibilidad de la información.

4.4 Implementación de la gestión de riesgos

4.4.1 Implementación del marco de referencia para la gestión de riesgos

En la implementación del marco de referencia para la gestión de riesgos, la organización debería:

definir el momento apropiado y la estrategia para la implementación del marco de referencia;

aplicar la política y el proceso de gestión de riesgos a los procesos de la organización;

cumplir con los requerimientos legales y reglamentarios;

garantizar que la toma de decisiones, incluyendo el desarrollo y establecimiento de objetivos, está alineada con los resultados de los procesos de gestión de riesgos;

llevar a cabo sesiones de información y formación; y

comunicar y consultar a las partes interesadas para asegurarse de que su marco de gestión de riesgos sigue siendo apropiado.

4.4.2 Implementación del proceso de gestión de riesgos

La gestión de riesgos, debería implementar, para asegurar que el proceso de gestión de riesgos descrito en la cláusula 5, se aplica mediante un plan de gestión de riesgos en todos los niveles y funciones pertinentes de la organización como parte de sus prácticas y procesos.

4.5 Seguimiento y revisión del de referencia

Con el fin de asegurar que la gestión de riesgos es eficaz y continúa apoyando el desempeño organizacional, la organización debería:

medir el desempeño de la gestión de riesgos con indicadores, que sean revisados periódicamente para asegurar su conveniencia;

medir periódicamente la gestión de riesgos en la relación con los indicadores los cuales son periódicamente revisados para su pertinencia;

revisar periódicamente si el marco de referencia, la política y el plan de la gestión de riesgos, siguen siendo adecuados, teniendo en cuenta el contexto externo e interno de las organizaciones;

informar sobre los riesgos, el progreso con el plan de gestión de riesgos y qué tan bien se está siguiendo la política de gestión de riesgos; y

revisar la eficacia del marco de referencia de la gestión de riesgos.




ISO 31000:2009 NMX-SAST-31000-IMNC-2016

SINEC20160119131705417 ICS 03.100.01


4.6 Mejora continua del marco de referencia

Las decisiones deberían de ser tomadas en cómo la gestión de riesgo, la política y el plan pueden ser mejorados. Basándose en los resultados del seguimiento y revisiones.

Estas decisiones deberían dirigir las mejoras de la gestión de riesgos y su cultura de la organización.

5 Procesos

5.1 Generalidades

El proceso de gestión del riesgo debería ser:

una parte integral de la gestión,

embebido en la cultura y las prácticas, y

adaptados a los procesos de negocio de la organización.

Comprende las actividades descritas en 5.2 a 5.6. El proceso de gestión de riesgos se muestra en la Figura 3.




NMX-SAST-31000-IMNC-2016 ISO 31000:2009

SINEC20160119131705417 ICS 03.100.01


Figura 3 — El proceso de gestión de riesgos

5.2 Comunicación y consulta

La comunicación y consulta con las partes interesadas externas e internas deberían llevarse a cabo durante todas las etapas del proceso de gestión de riesgos.

Por lo tanto, los planes de comunicación y consulta deberían desarrollarse en una etapa temprana. Estos deberían abordar las cuestiones relacionadas con el riesgo en sí mismo, sus causas, consecuencias (sí son conocidas), y las medidas adoptadas para tratarlo. Una comunicación efectiva y consulta interna y externa deberían llevarse a cabo para asegurar que los responsables de la aplicación del proceso de gestión de riesgos y las partes interesadas

Evaluación del riesgo (5.4)

Establecer el contexto (5.3)

Identificación del riesgo (5.4.2)

Análisis del riesgo (5.4.3)

Valoración del riesgo (5.4.4)

Tratamiento del riesgo (5.5)

Comunicación y

consulta (5.2)

Seguimiento y

revisión (5.6)




ISO 31000:2009 NMX-SAST-31000-IMNC-2016

SINEC20160119131705417 ICS 03.100.01


comprendan las bases sobre las cuales se toman las decisiones y razones por lo que las medidas particulares son necesarias.

El equipo de consulta puede:

ayudar a establecer apropiadamente el contexto;

asegurar que los intereses de las partes interesadas sean entendidas y consideradas;

ayudar a asegurar que los riesgos están adecuadamente identificados;

conjuntar diferentes áreas de conocimiento y experiencia para analizar los riesgos;

asegurar que los diferentes puntos de vista están debidamente considerados en la definición de criterios de riesgo y en la evaluación de riesgos;

asegurar el respaldo y el apoyo a un plan de tratamiento;

mejorar la gestión del cambio durante el proceso de gestión de riesgos, y

desarrollar un plan de comunicación interna y externa, y de consulta.

La comunicación y consulta con las partes interesadas es importante, ya que ellos pueden hacer juicios sobre el riesgo basándose en sus percepciones de riesgo. Estas percepciones pueden variar debido a diferencias en los valores, necesidades, suposiciones, conceptos y preocupaciones de las partes interesadas. Sus puntos de vista puede tener un impacto significativo sobre las decisiones tomadas, las percepciones de las partes interesadas deberían ser identificados, registrados, y tomarse en cuenta en el proceso de toma de decisiones.

La comunicación y la consulta deberían facilitar la veracidad, relevancia, precisión y comprensible intercambio de información, teniendo en cuenta aspectos de confidencialidad e integridad personal.

5.3 Establecer el contexto

5.3.1 Generalidades

Al establecer el contexto, la organización define sus objetivos y parámetros internos y externos que deberían tomarse en cuenta en la gestión de riesgos, y determina el campo de aplicación y criterios de riesgo para el resto del proceso. Si bien muchos de estos parámetros son similares a las consideradas en el diseño del marco de gestión de riesgos (ver 4.3.1), al establecer el marco para el proceso de gestión de riesgos, deberían ser considerados con mayor detalle y cómo se relacionan en el campo de aplicación del proceso de gestión de riesgos en particular.

5.3.2 Establecer el contexto externo

El contexto externo es el entorno externo en el que la organización busca alcanzar sus objetivos.

Comprender el contexto externo es importante para asegurar que los objetivos y preocupaciones de las partes interesadas externas se consideran en el desarrollo de criterios de riesgo. Está basado en el contexto organizacional, más amplio pero con detalles específicos de los requisitos legales y reglamentarios, las percepciones de las partes interesadas y otros aspectos de riesgos específicos para el campo de aplicación del proceso de gestión de riesgos.

El contexto externo puede incluir, pero no limitarse a:




NMX-SAST-31000-IMNC-2016 ISO 31000:2009

SINEC20160119131705417 ICS 03.100.01


entorno social y cultural, político, jurídico, reglamentario, financiero, tecnológico, económico, natural y competitivo, ya sea internacional, nacional, regional o local;

factores clave y tendencias que impacten a los objetivos de la organización; y

las relaciones con, las percepciones y valores de las partes interesados externas.

5.3.3 Establecer el contexto interno

El contexto interno es el ambiente interno en el que la organización busca alcanzar sus objetivos.

El proceso de gestión de riesgos debería estar alineado con la cultura, procesos, estructura y estrategia de la organización. El contexto interno se refiere a todo aquello dentro de la organización que pueda influir en la manera en que ésta va a gestionar sus riesgos. Debería establecerse porque:

a) la gestión de riesgos se lleva a cabo dentro del contexto de los objetivos de la organización;

b) los objetivos y criterios de un determinado proyecto, proceso o actividad, deberían ser considerados paralelamente con los objetivos de la organización como un todo; y

c) algunas organizaciones fallan al reconocer las oportunidades para el logro de sus objetivos: estratégicos, de proyecto y de negocio; en consecuencia afecta el compromiso institucional en curso, la credibilidad, la confianza y valor.

Es necesario comprender el contexto interno. Esto puede incluir, pero no limitarse a:

control de la organización, la estructura organizacional, las funciones y responsabilidades;

las políticas, los objetivos y las estrategias que están en marcha para alcanzarlos;

capacidades, entendidas en términos de recursos y conocimientos (capital, por ejemplo, tiempo, personas, procesos, sistemas y tecnologías);

las relaciones entre las partes interesadas internas y, sus percepciones y valores;

la cultura organizacional;

los sistemas y flujos de información, y el proceso de toma de decisiones (tanto formales como informales);

normas, directrices y modelos adoptados por la organización; y

la forma y alcance de las relaciones contractuales.

5.3.4 Establecer el contexto del proceso de gestión de riesgos

Deberían estar establecidos los objetivos, estrategias, alcances y los parámetros de las actividades de la organización, o en aquellas partes de la organización donde se aplica el proceso de gestión de riesgo. La gestión del riesgo debería llevarse a cabo considerando de la necesidad de justificar los recursos utilizados en la implementación y seguimiento de la gestión del riesgo. Los recursos necesarios, las responsabilidades y autoridades, y los registros que deberían conservarse, también deberían ser especificados.

El contexto del proceso de gestión de riesgos puede variar de acuerdo a las necesidades de una organización. Puede incluir, pero no se limita a:

definir las metas y objetivos de las actividades de gestión de riesgos; Esta es una licencia que se otorga según lo establecido en la factura, quien no podrá utilizarla en un sistema de red informática, sistema de acceso simultáneo,



ISO 31000:2009 NMX-SAST-31000-IMNC-2016

SINEC20160119131705417 ICS 03.100.01


definir las responsabilidades para, y dentro del proceso de gestión de riesgos;

definir el alcance, así como la profundidad y amplitud de las actividades de gestión de riesgos que pueden llevarse a cabo, especificando las inclusiones y exclusiones;

definir la actividad, proceso, función, proyecto, producto, bienes o servicios en términos de tiempo y lugar;

definir las relaciones entre proyecto, proceso o actividad en particulares y otros proyectos, procesos o actividades de la organización;

definir las metodologías para la evaluación de riesgos;

definir el modo evaluación del desempeño y eficacia en la gestión de riesgos;

identificar y especificar las decisiones que se deberían tomar; y

Identificar, determinar el alcance o elaborar los estudios necesarios, su amplitud y objetivos y los recursos que requieren esos estudios.

La atención a estos y otros factores relevantes deberían ayudar a asegurar que el enfoque de gestión de riesgos adoptado resulte adecuado para las circunstancias, para la organización y para los riesgos que afectan al logro de sus objetivos.

5.3.5 Definición de criterios de riesgo

La organización debería definir los criterios que se utilizarán para evaluar la importancia del riesgo. Los criterios deberían reflejar los valores, objetivos y recursos de la organización. Algunos criterios pueden ser impuestos por, o derivados de, los requisitos legales y reglamentarios, y otros requisitos a los cuales la organización se suscriba. Los criterios de riesgo deberían ser consistentes con la política de gestión de riesgos de la organización (ver 4.3.2), estar definidos al comienzo de cualquier proceso de gestión de riesgos y revisarse continuamente.

Al definir los criterios de riesgo, los factores a considerar deberían incluir lo siguiente:

la naturaleza y los tipos de causas y consecuencias, que pueden ocurrir y como serán medidos;

cómo será definida la probabilidad;

la probabilidad y/o consecuencia (s);

cómo determinar el nivel de riesgo;

las opiniones de las partes interesadas;

el nivel en el cual se convierte en riesgo aceptable o tolerable; y

cuando existan combinaciones de riesgos múltiples que deberían tenerse en cuenta y, en caso afirmativo, cómo y qué combinaciones deberían ser consideradas.

5.4 Evaluación del riesgo

5.4.1 Generalidades

La evaluación de riesgos es el proceso general de identificación, análisis y valoración de riesgos.

NOTA La ISO 31010 (ver Bibliografía), proporciona orientación sobre las técnicas de evaluación de riesgos. Esta es una licencia que se otorga según lo establecido en la factura, quien no podrá utilizarla en un sistema de red informática, sistema de acceso simultáneo,



NMX-SAST-31000-IMNC-2016 ISO 31000:2009

SINEC20160119131705417 ICS 03.100.01


5.4.2 Identificación del riesgo

La organización debería identificar las fuentes de riesgo, zonas de impactos, los acontecimientos (incluyendo los cambios en las circunstancias) y sus causas y sus posibles consecuencias. El objetivo de este paso es generar una lista exhaustiva de los riesgos basados en los acontecimientos que puedan crear, mejorar, prevenir, degradar, acelerar o retrasar el logro de los objetivos. Es importante identificar los riesgos asociados que no ejercen una oportunidad. La identificación completa es fundamental, porque si algún riesgo no es identificado en esta etapa no se incluirá en el análisis posterior.

La identificación debería incluir los riesgos este o no este la fuente bajo el control de la organización, aunque la fuente de riesgo o causa no sea evidente. La identificación de riesgos debería incluir el examen de los efectos en cadena de consecuencias particulares, incluyendo efectos en cascada y acumulativos. También debería considerar una amplia gama de consecuencias, incluso si la fuente de riesgo o causa no puede ser evidente. Así como la identificación de lo que podría suceder, es necesario considerar las posibles causas y situaciones que muestran las consecuencias que pueden ocurrir. Todas las causas y consecuencias importantes deberían ser consideradas.

La organización debería aplicar herramientas de detección de riesgos y técnicas que se adapten a sus objetivos y capacidades, y a los riesgos que enfrentan. La información pertinente y actualizada es importante en la identificación de riesgos. Esto debería incluir información de los antecedentes cuando sea posible. Las personas con los conocimientos adecuados deberían participar en la identificación de riesgos.

5.4.3 Análisis del riesgo

El análisis de riesgos implica desarrollar la comprensión del riesgo. El análisis de riesgos proporciona una entrada a la valoración del riesgo y las decisiones sobre los riesgos qué necesitan ser tratados, y las estrategias y métodos más adecuados del tratamiento de riesgo. El análisis de riesgos también puede proporcionar información para la toma de decisiones referente a la selección de las opciones en base a los diferentes tipos y niveles de riesgo.

El análisis del riesgo implica considerar las causas y las fuentes de riesgo, sus consecuencias positivas o negativos y la probabilidad de que esas consecuencias pueden ocurrir. Los factores que afectan a las consecuencias y su probabilidad deberían ser identificados. El riesgo se analiza mediante la determinación de las consecuencias y sus probabilidades, y otros atributos del riesgo. Un evento puede tener múltiples consecuencias y puede afectar a múltiples objetivos. Los controles existentes y su eficacia y eficiencia también deberían ser tomados en cuenta.

La forma en que las consecuencias y su probabilidad se expresan y la forma en que se combinan para determinar un nivel de riesgo deberían reflejar el tipo de riesgo, la información disponible y el propósito para el qué la evaluación de riesgos se va a utilizar. Esto debería ser consistente con los criterios de riesgo. También es importante tener en cuenta la interdependencia de los diferentes riesgos y sus fuentes.

El nivel de confianza en la determinación del nivel de riesgo y su sensibilidad de las condiciones previas e hipótesis deberían ser consideradas en el análisis, y comunicarse eficazmente a los responsables de tomar decisiones y, cuando sea apropiado, a otras partes interesadas. Los factores como la divergencia de opiniones entre los expertos, incertidumbre, disponibilidad, calidad, cantidad y continuidad de la relevancia de la información, o limitaciones en la aplicación del modelo deberían ser declaradas, y pueden resaltarse.

El análisis de riesgo puede llevarse a cabo con diferentes grados de detalle, en función del riesgo, objetivo del análisis e información, datos y recursos disponibles. El análisis pueden ser cualitativo, cuantitativo o semi-cuantitativo, o una combinación de estos, dependiendo de las circunstancias.

Las consecuencias y su probabilidad pueden ser determinadas por la aplicación de un modelo a los resultados de un evento o un conjunto de eventos, o por extrapolación a partir de estudios experimentales o de los datos disponibles. Las consecuencias pueden ser expresadas en términos de efectos tangibles e intangibles. En algunos casos, más que el valor numérico o la descripción se requiere especificar las consecuencias y su probabilidad para distintos momentos, lugares, grupos o situaciones.




ISO 31000:2009 NMX-SAST-31000-IMNC-2016

SINEC20160119131705417 ICS 03.100.01


5.4.4 Valoración del riesgo

El propósito de la valoración de riesgo es ayudar en la toma de decisiones, basada en los resultados del análisis de riesgo, sobre los riesgos que necesitan ser tratados y la prioridad para su implementación.

La valoración del riesgo involucra la comparación del nivel de riesgo identificado durante el proceso de análisis contra los criterios de riesgos establecidos en la subcláusula 5.3 establecimiento de contexto. Basándose en esta comparación, la necesidad de tratamiento puede ser considerado.

Las decisiones deberían tener en cuenta el contexto más amplio del riesgo e incluir la consideración de la tolerancia de los riesgos asumidos por otras partes de la organización que se beneficia del riesgo. Las decisiones deberían tomarse de conformidad con los requisitos legales, reglamentarios y otros.

En algunas circunstancias, la valoración de riesgo puede conducir a tomar una decisión de proceder a su posterior análisis. La valoración del riesgo también puede dar lugar a la decisión de no tratar el riesgo de cualquier otra forma y mantener los controles existentes. Esta decisión debería ser influida por la actitud de riesgo de la organización y los criterios de riesgo que han sido establecidos.

5.5 Tratamiento de riesgo

5.5.1 Generalidades

El tratamiento de riesgo consiste en seleccionar una o más opciones para la modificación de riesgos, e implementar estas opciones. Una vez implementados, el tratamiento proporciona los controles o los modifica.

El tratamiento de riesgo implica un proceso cíclico de:

evaluar el tratamiento de riesgo;

decidir si los niveles de riesgo residual son tolerables;

si no son tolerables, generar un nuevo tratamiento de riesgo; y

evaluar la eficacia del tratamiento.

Las opciones de tratamiento de riesgo no son necesariamente exclusivas o apropiadas para todas las circunstancias. Las opciones pueden incluir los siguientes:

a) evitar el riesgo mediante la decisión de no iniciar o continuar con la actividad que da lugar al riesgo;

b) tomar o aumentar el riesgo con el fin de perseguir una oportunidad;

c) remover la fuente de riesgo;

d) cambiar la probabilidad;

e) cambiar las consecuencias;

f) compartir el riesgo con otra parte o partes (incluidos los contratos y el financiamiento de riesgo); y

g) mantener el riesgo por decisión informada.




NMX-SAST-31000-IMNC-2016 ISO 31000:2009

SINEC20160119131705417 ICS 03.100.01


5.5.2 Selección de opciones de tratamiento de riesgo

La selección de la opción más adecuada para el tratamiento de riesgo consiste en equilibrar los costos y los esfuerzos de la implementación contra los beneficios esperados y en función a los requisitos legales, reglamentarios y otros como la responsabilidad social y la protección del medio ambiente. Las decisiones, también deberían garantizar el tratamiento de riesgos que no se justifica por motivos económicos, por ejemplo, riesgos severos (consecuencia negativa alta), pero raros (baja probabilidad).

Diversas opciones de tratamiento pueden ser consideradas y aplicadas de forma individual o combinada. La organización se puede beneficiar normalmente de la adopción de una combinación de opciones de tratamiento.

En la selección de las opciones de tratamiento de riesgo, la organización debería considerar los valores y las percepciones de las partes interesadas y los medios más adecuados para comunicarlas. Cuando las opciones de tratamiento de riesgo pueden tener impacto sobre el riesgo de otras partes de la organización o con otras partes interesadas, estos deberían participar en la decisión. Aunque igual de eficaces, algunos tratamientos de riesgo pueden ser más aceptados por algunas partes interesadas que otras.

El plan de tratamiento de riesgo debería identificar claramente el orden de prioridad en que los tratamientos individuales de riesgo deberían implementarse.

El tratamiento de riesgo en sí misma puede introducir otros riesgos. Un riesgo significativo puede ser el fracaso o la ineficacia de las medidas para el tratamiento de riesgo. El seguimiento debería ser parte integral del plan de tratamiento del riesgo y garantizar que las medidas continúen siendo eficaces.

El tratamiento del riesgo también puede introducir riesgos secundarios que deberían ser evaluados, tratados, vigilados y revisados. Estos riesgos secundarios deberían ser incorporados en el mismo plan de tratamiento al igual que el riesgo original y no tratarse como un nuevo riesgo. El vínculo entre los dos riesgos debería ser identificado y mantenido.

5.5.3 Preparación e implementación de los planes de tratamiento de riesgo

El objetivo de los planes de tratamiento de riesgo es documentar cómo las opciones de tratamiento elegido se llevan a cabo. La información proporcionada en los planes de tratamiento debería incluir:

las razones para la selección de opciones de tratamiento, incluyendo los beneficios esperados que pueden obtenerse;

los responsables de la aprobación del plan y los responsables de la implementación;

acciones propuestas;

los requisitos de recursos incluidas las contingencias;

medidas de desempeño y limitaciones;

presentación de informes y los requisitos de seguimiento; y

calendarización y cronograma.

Los planes de tratamiento deberían ser integrados con los procesos de gestión de la organización y discutido con las partes interesadas pertinentes.

Los responsables de tomar decisiones y otras partes interesadas deberían ser conscientes de la naturaleza y el alcance del riesgo residual después del tratamiento de riesgo. El riesgo residual debería ser documentado y sometidos a vigilancia, examen y, en su caso, a tratamiento posterior.




ISO 31000:2009 NMX-SAST-31000-IMNC-2016

SINEC20160119131705417 ICS 03.100.01


5.6 Seguimiento y revisión

El seguimiento y la revisión deberían ser una parte planificada del proceso de gestión de riesgos e implica la verificación periódica o la vigilancia. Puede ser periódica o a propósito para el caso.

Las responsabilidades para el seguimiento y revisión deberían estar claramente definidas.

El seguimiento de la organización y la revisión de los procesos deberían incluir todos los aspectos del proceso de gestión de riesgos para los fines de:

asegurar que los controles son eficaces y eficientes tanto en el diseño y funcionamiento;

obtener más información para mejorar la evaluación de riesgo;

analizar y aprender lecciones de los eventos (incluyendo cuasi accidentes), los cambios, las tendencias, éxitos y fracasos;

detectar cambios en el contexto externo e interno, incluidos los cambios en los criterios de riesgo y el riesgo en sí mismo el cual puede requerir una revisión de los tratamientos de riesgo y prioridades; e

identificar los riesgos generados.

El progreso en la implementación de los planes de tratamiento de riesgo proporciona una medida de desempeño. Los resultados pueden incorporarse dentro de la gestión del desempeño global de la organización, la medición e informes de actividades externas e internas.

Los resultados del seguimiento y la revisión deberían ser registrados, así como informes internos y externamente de manera apropiada y deberían utilizarse como información de entrada en la revisión del marco de gestión de riesgo (ver 4.5).

5.7 Registros del proceso de gestión de riesgo

Las actividades de gestión de riesgos deberían ser trazables. En el proceso de gestión de riesgos, los registros proporcionan la base para la mejora de los métodos y herramientas, así como en todo el proceso.

Las decisiones relativas a la creación de registros deberían tener en cuenta:

los necesidades de la organización para el aprendizaje continuo;

los beneficios de la reutilización de la información para efectos de la gestión;

los costos y esfuerzos involucrados en la creación y el mantenimiento de registros;

los requisitos legales, reglamentarios y operativos;

método de acceso, la facilidad para recuperarse y medios de almacenamiento;

periodo de retención, y

confidencialidad de la información.

6 Concordancia con normas internacionales

Esta norma mexicana es idéntica (IDT) con la norma internacional ISO 31000:2009 Risk management – Principles and guidelines. Ed 1 (2009 noviembre).




NMX-SAST-31000-IMNC-2016 ISO 31000:2009

SINEC20160119131705417 ICS 03.100.01


Anexo A (informativo)

Atributos de la mejora de la gestión de riesgos

A.1 Generalidades

Todas las organizaciones deberían aspirar al nivel apropiado de desempeño en el marco de gestión de riesgo de acuerdo a la criticidad de las decisiones a ser tomadas. La siguiente lista de atributos representa un alto nivel de desempeño en la gestión de riesgos. Para ayudar a las organizaciones a medir su propio desempeño contra estos criterios, algunos indicadores tangibles son dados para cada atributo.

A.2 Resultados clave

A.2.1 La organización tiene un entendimiento de los riesgos actualizado, correcto y completo.

A.2.2 Los riesgos de la organización están considerados dentro de sus criterios de riesgo.

A.3 Atributos

A.3.1 Mejora continua

Enfatizar en la mejora continua de la gestión de riesgo a través de la adecuación de los objetivos del desempeño organizacional, metas, medición, revisión y la subsecuente modificación de procesos, sistemas, recursos, capacidades y habilidades.

Esto puede ser indicado por la existencia de las metas explícitas contra los cuales es medido el desempeño de la gestión de la organización. El desempeño de la organización debe ser publicado y comunicado. Normalmente deberá existir al menos una revisión anual de desempeño y después una revisión de los procesos así como el establecimiento de los objetivos de desempeño que serán revisados para el siguiente período.

Esta evaluación de la gestión de riesgos es una parte integral de la evaluación del desempeño de la organización completa y del sistema de medición por departamentos e individualmente.

A.3.2 Total rendición de cuentas para riesgos

Una gestión de riesgos mejorada incluye una amplia, bien definida y completamente aceptada rendición de cuentas para el control y las tareas de tratamiento de riesgos. Los individuos designados aceptan la rendición de cuentas completamente, están apropiadamente capacitados y cuentan con los recursos adecuados para verificar los controles, seguimiento de los riesgos, mejora de los controles y para comunicar de manera efectiva los riesgos y su gestión a las partes interesadas externas e internas.

Es conveniente que todos los miembros de una organización que están totalmente consientes de los riesgos, los controles y las tareas de las cuales son responsables. Normalmente, esto estará registrado en las descripciones del puesto, bases de datos o sistemas de información. La definición de las funciones de gestión de riesgo y la rendición de cuentas y responsabilidades deberían ser parte de todos los programas de inducción de la organización.

La organización asegura que aquellos que son responsables de rendición de cuentas están dotados para cumplir con su función proporcionándoles la autoridad, tiempo, entrenamiento, recursos y habilidades suficientes para asumir todas sus responsabilidades.




ISO 31000:2009 NMX-SAST-31000-IMNC-2016

SINEC20160119131705417 ICS 03.100.01


A.3.3 Aplicación de la gestión de riesgo en la toma de decisiones

En la toma de decisiones dentro de la organización, cualquiera que sea el nivel de importancia y significancia, involucra la consideración explícita de los riesgos y la aplicación de la gestión de riesgo en los grados apropiados.

Esto puede estar evidenciado en los registros de reuniones y sus decisiones que muestren que tuvieron lugar discusiones explícitas sobre los riesgos. Adicionalmente, debería ser posible observar que todos los componentes de la gestión de riesgo están representados dentro de los procesos clave para la toma de decisiones en la organización, por ejemplo las decisiones sobre la asignación del capital, sobre los principales proyectos y sobre la reestructuración y cambios en la organización. Por estas razones, la gestión de riesgo bien fundamentada es vista dentro de la organización para proporcionar las bases para una dirección eficaz.

A.3.4 Comunicación continua

La gestión de riesgo mejorada incluye la comunicación continua con las partes interesadas internas y externas, incluyendo los informes generales y frecuentes del funcionamiento de la gestión de riesgo, como parte de una buena dirección.

Esto puede ser indicado por la comunicación con los directivos como un componente integral y esencial de la gestión de riesgos. La comunicación es un proceso de dos direcciones, que permite tomar decisiones apropiadamente informadas acerca del nivel de los riesgos y de la necesidad de su tratamiento contra los criterios de riesgos apropiadamente establecidos y exhaustivos.

El informe interno y externo frecuente y exhaustivo, sobre la significancia de los riesgos y el desempeño de la gestión de riesgo contribuye sustancialmente a una dirección efectiva dentro de la organización.

A.3.5 Integración completa en la estructura de la dirección de la organización

La gestión de riesgos es un punto central en los procesos de gestión de la organización, de manera que los riesgos son considerados en términos del efecto de incertidumbre sobre los objetivos. La estructura y el proceso de dirección están basados en la gestión de riesgos. La gestión de riesgo eficaz es vista por los directores como esencial para la consecución de los objetivos de la organización.

La gestión de riegos está considerada en el lenguaje de los directores y en materiales escritos importantes en la organización usando el término “incertidumbre” en conexión con los riesgos. Este atributo también está normalmente reflejado en los lineamientos de política de la organización, particularmente aquellos relacionados con la gestión de riesgos. Generalmente, este atributo se debería verificar a través de entrevistas con los directores y en la evidencia de sus acciones y lineamientos.

Esta es una licencia que se otorga según lo establecido en la factura, quien no podrá utilizarla en un sistema de red informática, sistema de acceso simultáneo,



NMX-SAST-31000-IMNC-2016 ISO 31000:2009

SINEC20160119131705417 ICS 03.100.01


7 Bibliografía

[1] NMX-SAST-001-IMNC-2008, Sistemas de gestión de Seguridad y Salud en el Trabajo – Requisitos. Publicada en el Diario Oficial de la Federación el 08 de julio de 2008.

[1] NMX-SAST-002-IMNC-2001, Sistemas de Administración de Seguridad y Salud en el Trabajo - Guía para la implementación de NMX-SAST-001-IMNC-2000. Publicada en el Diario Oficial de la Federación el 07 de febrero de 2001.

[2] ISO Guide 73:2009, Risk management – Vocabulary. Ed 1 (2009 noviembre).

[3] ISO/IEC 31010, Risk management - Risk assessment techniques. Ed 1 (2009 noviembre).




SIN TEXTO




Manuel Ma. Contreras 133, 6º Piso Col. Cuauhtémoc

C. P. 06500, Ciudad de México Tels. (01 55) 5546 4546

Fax: (01 55) 5546 4546 ext. 6150 Lada sin costo: 01 800 201 01 45

Correo electrónico: [email protected] web: http://www.imnc.org.mx




mailto:[email protected]

NORMA MEXICANA IMNCsgc.itmexicali.edu.mx/formatos/DOCUMENTOS EXTERNOS OK/Norma 31000 Y... · La...

Documents

Transcript of NORMA MEXICANA IMNCsgc.itmexicali.edu.mx/formatos/DOCUMENTOS EXTERNOS OK/Norma 31000 Y... · La...