INTERNACIONAL

ESTÁNDAR
YO ASI
31000
Primera edición
2009-11-15
Gestión de riesgos: principios y
pautas
Management du risque - Principes et lignes directrices
Copyright Organización Internacional de Normalización
Proporcionado por IHS bajo licencia con ISO
No para la reventa
No se permite la reproducción o la conexión en red sin licencia de IHS
--` ,, `` `,,,,` `` `-`-` `` ``, `` `---

Página 2
ISO 31000: 2009 (E)
Descargo de responsabilidad en PDF
Este archivo PDF puede contener tipos de letra incrustados. De acuerdo con la política de licencias de Adobe, este archivo puede imprimirse o
verse, pero no se editarán a menos que los tipos de letra incrustados tengan licencia y estén instalados en la computadora que realiza la edición. En
Al descargar este archivo, las partes aceptan la responsabilidad de no infringir la política de licencias de Adobe. La Secretaría Central de ISO
no acepta ninguna responsabilidad en esta área.
Los detalles de los productos de software utilizados para crear este archivo PDF se pueden encontrar en la Información general relativa al
archivo; la creación de PDF
Los parámetros se optimizaron para la impresión. Se han tomado todas las precauciones para garantizar que el archivo sea adecuado para su uso
por parte de los organismos miembros de ISO. En
En el caso poco probable de que se encuentre un problema relacionado con él, informe a la Secretaría Central en la dirección que se indica a
continuación.
DOCUMENTO PROTEGIDO POR DERECHOS DE AUTOR
© ISO 2009
Reservados todos los derechos. A menos que se especifique lo contrario, ninguna parte de esta publicación puede reproducirse o utilizarse de
ninguna forma ni por ningún medio.
electrónicos o mecánicos, incluyendo fotocopias y microfilmes, sin el permiso por escrito de ISO en la dirección a continuación o
Organismo miembro de ISO en el país del solicitante.
Oficina de derechos de autor ISO
Caso postale 56 • CH-1211 Ginebra 20
Tel. + 41 22 749 01 11
Fax + 41 22749 09 47
Correo electrónico copyright@[Link]
Web [Link]
Publicado en Suiza
ii
© ISO 2009 - Todos los derechos reservados
Copyright Organización Internacional de Normalización
Proporcionado por IHS bajo licencia con ISO
No para la reventa
No se permite la reproducción o la conexión en red sin licencia de IHS
--` ,, `` `,,,,` `` `-`-` `` ``, `` `---

Página 3
ISO 31000: 2009 (E)
© ISO 2009 - Todos los derechos reservados
iii
Contenido
Página
Prólogo ................................................. .................................................. .................................................. ....... iv
Introducción................................................. .................................................. .................................................. .... v
1
Alcance................................................. .................................................. .................................................. .1
2
Términos y definiciones ............................................... .................................................. .......................... 1
3
Principios ................................................. .................................................. ............................................. 7
4
Estructura ................................................. .................................................. .......................................... 8
4.1
General ................................................. .................................................. ................................................ 8
4.2
Mandato y compromiso ............................................... .................................................. ................... 9
4.3
Diseño de marco de gestión de riesgos ............................................ ................................................ 10
4.3.1
Comprensión de la organización y su contexto ........................................... .............................. 10
4.3.2
Establecimiento de una política de gestión de riesgos .............................................. ................................................. 10
4.3.3
Responsabilidad................................................. .................................................. ................................... 11
4.3.4
Integración en los procesos organizativos .............................................. .......................................... 11
4.3.5
Recursos ................................................. .................................................. ......................................... 11
4.3.6
Establecimiento de mecanismos de comunicación e informes internos ............................................ .... 12
4.3.7
Establecimiento de mecanismos externos de comunicación y presentación de informes ............................................ ...
12
4.4
Implementación de la gestión de riesgos ............................................... .................................................. ....... 12
4.4.1
Implementación del marco para la gestión de riesgos ............................................ .................................. 12
4.4.2
Implementación del proceso de gestión de riesgos ............................................. ...................................... 13
4.5
Seguimiento y revisión del marco ............................................ .............................................. 13
4.6
Mejora continua del marco ............................................. ........................................... 13
5
Proceso................................................. .................................................. .............................................. 13
5.1
General ................................................. .................................................. .............................................. 13
5.2
Comunicación y consulta ............................................... .................................................. .... 14
5.3
Estableciendo el contexto ............................................... .................................................. ....................15
5.3.1
General ................................................. .................................................. ..............................................15
5.3.2
Estableciendo el contexto externo .............................................. .................................................. ......15
5.3.3
Estableciendo el contexto interno .............................................. .................................................. .......15
5.3.4
Establecimiento del contexto del proceso de gestión de riesgos .......................................... ..................dieciséis
5.3.5
Definición de criterios de riesgo ............................................... .................................................. ........................... 17
5.4
Evaluación de riesgos ................................................ .................................................. ............................... 17
5.4.1
General ................................................. .................................................. .............................................. 17
5.4.2
Identificación de riesgo................................................ .................................................. .............................. 17
5.4.3
Análisis de riesgo................................................ .................................................. ...................................... 18
5.4.4
Evaluación de riesgo ................................................ .................................................. .................................. 18
5.5
Tratamiento de riesgos ................................................ .................................................. .................................... 18
5.5.1
General ................................................. .................................................. .............................................. 18
5.5.2
Selección de opciones de tratamiento de riesgos ............................................. .................................................. .... 19
5.5.3
Elaboración e implementación de planes de tratamiento de riesgos ............................................ .............................. 20
5,6
Seguimiento y revisión ............................................... .................................................. ....................... 20
5.7
Registro del proceso de gestión de riesgos ............................................. ............................................ 21
Anexo A (informativo) Atributos de una mejor gestión de riesgos ........................................ ........................ 22
Bibliografía................................................. .................................................. .................................................. .24
Copyright Organización Internacional de Normalización
Proporcionado por IHS bajo licencia con ISO
No para la reventa
No se permite la reproducción o la conexión en red sin licencia de IHS
--` ,, `` `,,,,` `` `-`-` `` ``, `` `---

Página 4
ISO 31000: 2009 (E)
iv
© ISO 2009 - Todos los derechos reservados

Prefacio
ISO (la Organización Internacional de Normalización) es una federación mundial de organismos nacionales de
normalización
(Organismos miembros de ISO). El trabajo de preparación de Normas Internacionales se realiza normalmente a través de
ISO
comités técnicos. Cada organismo miembro interesado en un tema para el que se ha creado un comité técnico.
establecido tiene derecho a estar representado en dicho comité. Organizaciones internacionales, gubernamentales y
no gubernamentales, en coordinación con ISO, también participan en el trabajo. ISO colabora estrechamente con el
Comisión Electrotécnica Internacional (IEC) en todos los asuntos de normalización electrotécnica.
Las Normas Internacionales se redactan de acuerdo con las reglas dadas en las Directivas ISO / IEC, Parte 2.
La principal tarea de los comités técnicos es preparar Normas Internacionales. Proyectos de normas internacionales
adoptados por los comités técnicos se distribuyen a los órganos miembros para su votación. Publicación como
Norma Internacional requiere la aprobación de al menos el 75% de los organismos miembros con derecho a voto.
Se llama la atención sobre la posibilidad de que algunos de los elementos de este documento puedan ser objeto de patente.
derechos. ISO no se hace responsable de identificar alguno o todos los derechos de patente.
La Norma ISO 31000 fue preparada por el Grupo de Trabajo de la Junta de Gestión Técnica de ISO sobre gestión de
riesgos.
Copyright Organización Internacional de Normalización
Proporcionado por IHS bajo licencia con ISO
No para la reventa
No se permite la reproducción o la conexión en red sin licencia de IHS
--` ,, `` `,,,,` `` `-`-` `` ``, `` `---

Página 5
ISO 31000: 2009 (E)
© ISO 2009 - Todos los derechos reservados
v
Introducción
Las organizaciones de todo tipo y tamaño se enfrentan a factores e influencias internas y externas que las hacen inciertas.
si lograrán sus objetivos y cuándo. El efecto que tiene esta incertidumbre en los objetivos es "riesgo".
Todas las actividades de una organización implican riesgos. Las organizaciones gestionan el riesgo identificándolo,
analizándolo y luego evaluar si el riesgo debe ser modificado por el tratamiento del riesgo para satisfacer sus criterios de
riesgo. SEGUIMIENTO Y EVALUACION DE LOGRANDO OBJETIVOS Y MEJORANDO EL DESMPEÑO
A lo largo de este proceso, se comunican y consultan con las partes interesadas y monitorean y revisan el riesgo.
y los controles que modifican el riesgo para garantizar que no se requiera ningún tratamiento de riesgo adicional. Esta
Norma Internacional describe este proceso lógico y sistemático en detalle.
Si bien todas las organizaciones gestionan el riesgo hasta cierto punto, esta Norma Internacional establece una serie de
principios que deben cumplirse para que la gestión de riesgos sea eficaz. Esta norma internacional
recomienda que las organizaciones desarrollen, implementen y mejoren continuamente un marco cuyo propósito sea
integrar el proceso de gestión de riesgos en la gobernanza, la estrategia y la planificación generales de la organización,
gestión, elaboración de informes, políticas, valores y cultura.
La gestión de riesgos también se puede aplicar a toda una organización, en sus muchas áreas y niveles, en cualquier
momento. en cuanto a funciones, proyectos y actividades específicas.
Aunque la práctica de la gestión de riesgos se ha desarrollado a lo largo del tiempo y en muchos sectores con el fin de
satisfacer diversas necesidades, la adopción de procesos consistentes dentro de un marco integral puede ayudar a
garantizar que el riesgo se gestione de forma eficaz, eficiente y coherente en toda la organización. El genérico
enfoque descrito en esta Norma Internacional proporciona los principios y directrices para gestionar cualquier
forma de riesgo de manera sistemática, transparente y creíble y dentro de cualquier alcance y contexto.
Cada sector o aplicación específica de la gestión de riesgos trae consigo necesidades, audiencias y percepciones
individuales.
y criterios. Por lo tanto, una característica clave de esta Norma Internacional es la inclusión de "establecer el contexto"
como una actividad al inicio de este proceso genérico de gestión de riesgos. Establecer el contexto capturará la
objetivos de la organización, el entorno en el que persigue esos objetivos, sus grupos de interés y el
diversidad de criterios de riesgo, todos los cuales ayudarán a revelar y evaluar la naturaleza y complejidad de sus riesgos.
La relación entre los principios para la gestión del riesgo, el marco en el que ocurre y el riesgo
El proceso de gestión descrito en esta Norma Internacional se muestra en la Figura 1.
Cuando se implementa y mantiene de acuerdo con esta Norma Internacional, la gestión del riesgo
permite a una organización, por ejemplo:
- aumentar la probabilidad de lograr los objetivos;
- fomentar la gestión proactiva;
- ser consciente de la necesidad de identificar y tratar el riesgo en toda la organización;
- mejorar la identificación de oportunidades y amenazas;
- cumplir con los requisitos legales y reglamentarios pertinentes y las normas internacionales;
- mejorar los informes obligatorios y voluntarios;
- mejorar la gobernanza;
- mejorar la confianza de las partes interesadas;
Copyright Organización Internacional de Normalización
Proporcionado por IHS bajo licencia con ISO
No para la reventa
No se permite la reproducción o la conexión en red sin licencia de IHS
--` ,, `` `,,,,` `` `-`-` `` ``, `` `---

Página 6
ISO 31000: 2009 (E)
vi
© ISO 2009 - Todos los derechos reservados
- establecer una base confiable para la toma de decisiones y la planificación;
- mejorar los controles;
- asignar y utilizar eficazmente los recursos para el tratamiento de riesgos;
- mejorar la eficacia y la eficiencia operativas;
- mejorar el desempeño en materia de salud y seguridad, así como la protección del medio ambiente;
- mejorar la prevención de pérdidas y la gestión de incidentes;
- minimizar las pérdidas;
- mejorar el aprendizaje organizacional; y
- mejorar la resiliencia organizacional.
Esta norma internacional está destinada a satisfacer las necesidades de una amplia gama de partes interesadas, que
incluyen:
a) los responsables de desarrollar la política de gestión de riesgos dentro de su organización;
b) los responsables de garantizar que el riesgo se gestiona de forma eficaz dentro de la organización en su conjunto o
dentro de un área, proyecto o actividad específicos;
c) aquellos que necesitan evaluar la efectividad de una organización en la gestión del riesgo; y
d) desarrolladores de estándares, guías, procedimientos y códigos de práctica que, total o parcialmente, establecen cómo
El riesgo debe gestionarse dentro del contexto específico de estos documentos.
Las prácticas y procesos de gestión actuales de muchas organizaciones incluyen componentes de riesgo.
gestión, y muchas organizaciones ya han adoptado un proceso formal de gestión de riesgos para determinadas
tipos de riesgo o circunstancias. En tales casos, una organización puede decidir llevar a cabo una revisión crítica de sus
prácticas y procesos existentes a la luz de esta Norma Internacional.
En esta Norma Internacional, se utilizan las expresiones "gestión de riesgos" y "gestión de riesgos". En
En términos generales, "gestión de riesgos" se refiere a la arquitectura (principios, marco y proceso) para gestionar
riesgos de manera eficaz, mientras que "gestionar el riesgo" se refiere a la aplicación de esa arquitectura a riesgos
particulares.
Copyright Organización Internacional de Normalización
Proporcionado por IHS bajo licencia con ISO
No para la reventa
No se permite la reproducción o la conexión en red sin licencia de IHS
--` ,, `` `,,,,` `` `-`-` `` ``, `` `---
 Página 7
ISO 31000: 2009 (E)
© ISO 2009 - Todos los derechos reservados
vii
Mamá
norte
D
a
te
y
compromiso (4.2)
Implementar
riesgo
administración
(4,4)
Diseño de framew
ork
para gestionar el riesgo
(4,3)
Continuo
improvisación
ement
de El
framew
ork
(4,6)
Mes
norte
ito
rin
gramo
y rev
es decir
w
de El
framew
ork
(4,5)
Framew
ork
(Cláusula 4)
a) Crea v
a
lu
mi
b) Parte integral de los procesos organizacionales
c) Parte de la toma de decisiones
gramo
d) Explícitamente
direcciones
incertidumbre
e) Sy
estemático
, estructurado
y oportuno
f) Basado en la mejor información disponible
g) T
a
amado
h) T
a
ke
s humano y
factores culturales en cuenta
eso
ransparent e inclu
s
iv
mi
j) Dy
námico, iterativo
ey
sensible al cambio
k) Facilita la mejora continua
ement y
mejora de la organización
Prin
cip
les
(Cláusula 3
)
Proceso
(Cláusula 5)
mi
s
establecer el contexto
(5,3)
Evaluación de riesgos (5.4
)
Identificación de riesgos (5.4.2)
Análisis de riesgo
s
es (5.4.3)
Evaluación de riesgos (5.4.4)
Tratamiento de riesgos (5.5)
Comunicación y consulta (5.2)
Seguimiento y revisión (5.6)
Figura 1 - Relaciones entre los principios, el marco y el proceso de gestión de riesgos
Copyright Organización Internacional de Normalización
Proporcionado por IHS bajo licencia con ISO
No para la reventa
No se permite la reproducción o la conexión en red sin licencia de IHS
--` ,, `` `,,,,` `` `-`-` `` ``, `` `---

Página 8
Copyright Organización Internacional de Normalización
Proporcionado por IHS bajo licencia con ISO
No para la reventa
No se permite la reproducción o la conexión en red sin licencia de IHS
--` ,, `` `,,,,` `` `-`-` `` ``, `` `---

Página 9
ESTÁNDAR INTERNACIONAL
ISO 31000: 2009 (E)
© ISO 2009 - Todos los derechos reservados
1
Gestión de riesgos: principios y directrices
1 Alcance
Esta Norma Internacional proporciona principios y directrices genéricas sobre gestión de riesgos.
Esta Norma Internacional puede ser utilizada por cualquier empresa, asociación, grupo o grupo público, privado o
comunitario.
individual. Por lo tanto, esta Norma Internacional no es específica de ninguna industria o sector.
NOTA
Por conveniencia, todos los diferentes usuarios de esta norma internacional se denominan con el término general
"organización".
Esta Norma Internacional se puede aplicar a lo largo de la vida de una organización y a una amplia gama de
actividades, incluidas estrategias y decisiones, operaciones, procesos, funciones, proyectos, productos, servicios
y activos.
Esta Norma Internacional se puede aplicar a cualquier tipo de riesgo, cualquiera que sea su naturaleza, ya sea positivo o
consecuencias negativas.
Aunque esta Norma Internacional proporciona directrices genéricas, no pretende promover la uniformidad del riesgo.
gestión en todas las organizaciones. El diseño e implementación de planes de gestión de riesgos y
Los marcos deberán tener en cuenta las distintas necesidades de una organización específica, sus objetivos particulares,
contexto, estructura, operaciones, procesos, funciones, proyectos, productos, servicios o activos y específicos
prácticas empleadas.
Se pretende que esta Norma Internacional se utilice para armonizar los procesos de gestión de riesgos en los
y estándares futuros. Proporciona un enfoque común en apoyo de los estándares que tratan con riesgos específicos.
y / o sectores, y no reemplaza esas normas.
Esta norma internacional no está destinada a fines de certificación.
2 Términos y definiciones
Para los propósitos de este documento, se aplican los siguientes términos y definiciones.
2.1
riesgo
efecto de la incertidumbre sobre los objetivos
NOTA 1 Un efecto es una desviación de lo esperado: positivo y / o negativo.
NOTA 2 Los objetivos pueden tener diferentes aspectos (tales como metas financieras, de salud y seguridad y ambientales) y
pueden aplicar en diferentes niveles (como estratégico, en toda la organización, proyecto, producto y proceso).
NOTA 3 El riesgo se caracteriza a menudo por referencia a eventos potenciales (2.17) y consecuencias (2.18), o un
combinación de estos.
NOTA 4 El riesgo se expresa a menudo en términos de una combinación de las consecuencias de un evento (incluidos los
cambios en
circunstancias) y la probabilidad asociada (2.19) de ocurrencia.
Copyright Organización Internacional de Normalización
Proporcionado por IHS bajo licencia con ISO
No para la reventa
No se permite la reproducción o la conexión en red sin licencia de IHS
--` ,, `` `,,,,` `` `-`-` `` ``, `` `---

Página 10
ISO 31000: 2009 (E)
2
© ISO 2009 - Todos los derechos reservados
NOTA 5 La incertidumbre es el estado, incluso parcial, de deficiencia de información relacionada con la comprensión o el
conocimiento de un
evento, su consecuencia o probabilidad.
[Guía ISO 73: 2009, definición 1.1]
2.2
gestión de riesgos
actividades coordinadas para dirigir y controlar una organización con respecto al riesgo (2.1)
[Guía ISO 73: 2009, definición 2.1]
2.3
marco de gestión de riesgos
conjunto de componentes que proporcionan las bases y arreglos organizativos para diseñar, implementar,
monitorear (2.28), revisar y mejorar continuamente la gestión de riesgos (2.2) en toda la organización
NOTA 1 Los fundamentos incluyen la política, los objetivos, el mandato y el compromiso para gestionar el riesgo (2.1).
NOTA 2 Los arreglos organizacionales incluyen planes, relaciones, responsabilidades, recursos, procesos y
ocupaciones.
NOTA 3 El marco de gestión de riesgos está integrado en el marco estratégico y operativo general de la organización.
políticas y prácticas.
[Guía ISO 73: 2009, definición 2.1.1]
2.4
política de gestión de riesgos
declaración de las intenciones generales y la dirección de una organización relacionada con la gestión de riesgos (2.2)
[Guía ISO 73: 2009, definición 2.1.2]
2.5
actitud de riesgo
El enfoque de la organización para evaluar y eventualmente perseguir, retener, asumir o rechazar el riesgo (2.1).
[Guía ISO 73: 2009, definición [Link]]
2.6
plan de gestión de Riesgos
esquema dentro del marco de gestión de riesgos (2.3) especificando el enfoque, la gestión
componentes y recursos que se aplicarán a la gestión del riesgo (2.1)
NOTA 1 Los componentes de gestión suelen incluir procedimientos, prácticas, asignación de responsabilidades, secuencia
y calendario de actividades.
NOTA 2 El plan de gestión de riesgos se puede aplicar a un producto, proceso y proyecto en particular, y parte o la totalidad de
la organización.
[Guía ISO 73: 2009, definición 2.1.3]
2,7
propietario del riesgo
persona o entidad con la responsabilidad y la autoridad para gestionar un riesgo (2.1)
[Guía ISO 73: 2009, definición [Link]]
Copyright Organización Internacional de Normalización
Proporcionado por IHS bajo licencia con ISO
No para la reventa
No se permite la reproducción o la conexión en red sin licencia de IHS
--` ,, `` `,,,,` `` `-`-` `` ``, `` `---

Página 11
ISO 31000: 2009 (E)
© ISO 2009 - Todos los derechos reservados
3
2.8
proceso de gestión de riesgos
Aplicación sistemática de políticas, procedimientos y prácticas de gestión a las actividades de comunicación.
consultar, establecer el contexto e identificar, analizar, evaluar, tratar, monitorear (2.28) y
revisar el riesgo (2.1)
[Guía ISO 73: 2009, definición 3.1]
2.9
estableciendo el contexto
definir los parámetros externos e internos a tener en cuenta a la hora de gestionar el riesgo, y establecer las
alcance y criterios de riesgo (2.22) para la política de gestión de riesgos (2.4)
[Guía ISO 73: 2009, definición 3.3.1]
2.10
contexto externo
Entorno externo en el que la organización busca alcanzar sus objetivos.
NOTA
El contexto externo puede incluir:
-
el entorno cultural, social, político, legal, regulatorio, financiero, tecnológico, económico, natural y competitivo,
ya sea internacional, nacional, regional o local;
-
impulsores y tendencias clave que tienen impacto en los objetivos de la organización; y
-
relaciones con, y percepciones y valores de las partes interesadas externas (2.13).
[Guía ISO 73: 2009, definición [Link]]
2.11
contexto interno
Entorno interno en el que la organización busca alcanzar sus objetivos.
NOTA
El contexto interno puede incluir:
-
gobernanza, estructura organizativa, roles y responsabilidades;
-
políticas, objetivos y estrategias que existen para lograrlos;
-
las capacidades, entendidas en términos de recursos y conocimiento (por ejemplo, capital, tiempo, personas, procesos, sistemas y
tecnologías);
-
sistemas de información, flujos de información y procesos de toma de decisiones (tanto formales como informales);
-
relaciones, percepciones y valores de los grupos de interés internos;
-
la cultura de la organización;
-
estándares, pautas y modelos adoptados por la organización; y
-
forma y alcance de las relaciones contractuales.
[Guía ISO 73: 2009, definición [Link]]
2.12
comunicación y consulta
Procesos continuos e iterativos que lleva a cabo una organización para proporcionar, compartir u obtener información y
para
entablar un diálogo con las partes interesadas (2.13) sobre la gestión del riesgo (2.1)
Copyright Organización Internacional de Normalización
Proporcionado por IHS bajo licencia con ISO
No para la reventa
No se permite la reproducción o la conexión en red sin licencia de IHS
--` ,, `` `,,,,` `` `-`-` `` ``, `` `---

Pagina 12
ISO 31000: 2009 (E)
4
© ISO 2009 - Todos los derechos reservados
NOTA 1 La información puede relacionarse con la existencia, naturaleza, forma, probabilidad (2.19), importancia, evaluación,
aceptabilidad y tratamiento de la gestión del riesgo.
NOTA 2 La consulta es un proceso bidireccional de comunicación informada entre una organización y sus partes interesadas.
sobre un tema antes de tomar una decisión o determinar una dirección sobre ese tema. La consulta es:
-
un proceso que impacta en una decisión a través de la influencia en lugar del poder; y
-
un insumo para la toma de decisiones, no una toma de decisiones conjunta.
[Guía ISO 73: 2009, definición 3.2.1]
2.13
Interesado
persona u organización que puede afectar, verse afectada o percibirse a sí misma como afectada por una decisión o
actividad
NOTA
Un tomador de decisiones puede ser un interesado.
[Guía ISO 73: 2009, definición [Link]]
2.14
Evaluación de riesgos
proceso general de identificación de riesgos (2.15), análisis de riesgos (2.21) y evaluación de riesgos (2.24)
[Guía ISO 73: 2009, definición 3.4.1]
2.15
identificación de riesgo
proceso de encontrar, reconocer y describir riesgos (2.1)
NOTA 1 La identificación de riesgos implica la identificación de fuentes de riesgo (2.16), eventos (2.17), sus causas y sus
posibles consecuencias (2.18).
NOTA 2 La identificación de riesgos puede involucrar datos históricos, análisis teóricos, opiniones informadas y de expertos, y
las necesidades de las partes interesadas (2.13).
[Guía ISO 73: 2009, definición 3.5.1]
2.16
fuente de riesgo
elemento que, solo o en combinación, tiene el potencial intrínseco de dar lugar a un riesgo (2.1)
NOTA
Una fuente de riesgo puede ser tangible o intangible.
[Guía ISO 73: 2009, definición [Link]]
2.17
evento
ocurrencia o cambio de un conjunto particular de circunstancias
NOTA 1 Un evento puede ser una o más ocurrencias y puede tener varias causas.
NOTA 2 Un evento puede consistir en algo que no está sucediendo.
NOTA 3 En ocasiones, un evento puede denominarse "incidente" o "accidente".
NOTA 4 Un evento sin consecuencias (2.18) también puede denominarse "cuasi accidente", "incidente", "cuasi golpe" o
llama".
[Guía ISO 73: 2009, definición [Link]]
Copyright Organización Internacional de Normalización
Proporcionado por IHS bajo licencia con ISO
No para la reventa
No se permite la reproducción o la conexión en red sin licencia de IHS
--` ,, `` `,,,,` `` `-`-` `` ``, `` `---

Página 13
ISO 31000: 2009 (E)
© ISO 2009 - Todos los derechos reservados
5
2.18
consecuencia
resultado de un evento (2.17) que afecta a los objetivos
NOTA 1 Un evento puede tener una serie de consecuencias.
NOTA 2 Una consecuencia puede ser cierta o incierta y puede tener efectos positivos o negativos en los objetivos DIRECTA O
INDIRECTA.
NOTA 3 Las consecuencias pueden expresarse cualitativa o cuantitativamente.
NOTA 4 Las consecuencias iniciales pueden aumentar a través de efectos colaterales.
[Guía ISO 73: 2009, definición [Link]]
2.19
probabilidad
posibilidad de que algo suceda
NOTA 1 En la terminología de la gestión de riesgos, la palabra "probabilidad" se utiliza para referirse a la posibilidad de que algo
suceda, ya sea definido, medido o determinado objetiva o subjetivamente, cualitativa o cuantitativamente, y descrito usando
términos generales o matemáticos (como una probabilidad o una frecuencia durante un período de tiempo determinado).
NOTA 2 El término inglés "verosimilitud" no tiene un equivalente directo en algunos idiomas; en cambio, el equivalente de
el término "probabilidad" se utiliza a menudo. Sin embargo, en inglés, "probabilidad" a menudo se interpreta de manera estricta
como un término matemático.
Por lo tanto, en la terminología de la gestión de riesgos, la "probabilidad" se utiliza con la intención de que tenga la misma
interpretación como el término "probabilidad" tiene en muchos idiomas además del inglés.
[Guía ISO 73: 2009, definición [Link]]
2,20
perfil de riesgo
descripción de cualquier conjunto de riesgos (2.1)
NOTA
El conjunto de riesgos puede contener aquellos que se relacionan con toda la organización, parte de la organización o como
definido de otra manera.
[Guía ISO 73: 2009, definición [Link]]
2.21
análisis de riesgo
proceso para comprender la naturaleza del riesgo (2.1) y para determinar el nivel de riesgo (2.23)
NOTA 1 El análisis de riesgos proporciona la base para la evaluación de riesgos (2.24) y las decisiones sobre el tratamiento de
riesgos (2.25).
NOTA 2 El análisis de riesgos incluye la estimación de riesgos.
[Guía ISO 73: 2009, definición 3.6.1]
2.22
criterios de riesgo
términos de referencia contra los cuales se evalúa la importancia de un riesgo (2.1)
NOTA 1 Los criterios de riesgo se basan en los objetivos de la organización y en el contexto externo (2.10) e interno (2.11).
NOTA 2 Los criterios de riesgo pueden derivarse de normas, leyes, políticas y otros requisitos.
[Guía ISO 73: 2009, definición [Link]]
Copyright Organización Internacional de Normalización
Proporcionado por IHS bajo licencia con ISO
No para la reventa
No se permite la reproducción o la conexión en red sin licencia de IHS
--` ,, `` `,,,,` `` `-`-` `` ``, `` `---

Página 14
ISO 31000: 2009 (E)
6
© ISO 2009 - Todos los derechos reservados
2.23
nivel de riesgo
magnitud de un riesgo (2.1) o combinación de riesgos, expresada en términos de la combinación de consecuencias
(2.18) y su probabilidad (2.19)
[Guía ISO 73: 2009, definición [Link]]
2,24
evaluación de riesgo
proceso de comparar los resultados del análisis de riesgo (2.21) con los criterios de riesgo (2.22) para determinar si
el riesgo
(2.1) y / o su magnitud es aceptable o tolerable
NOTA
La evaluación de riesgos ayuda en la decisión sobre el tratamiento de riesgos (2.25).
[Guía ISO 73: 2009, definición 3.7.1]
2,25
tratamiento de riesgo
proceso para modificar el riesgo (2.1)
NOTA 1 El tratamiento de riesgos puede implicar:
-
evitar el riesgo al decidir no iniciar o continuar con la actividad que origina el riesgo;
-
asumir o aumentar el riesgo para aprovechar una oportunidad;
-
eliminar la fuente de riesgo (2.16);
-
cambiar la probabilidad (2.19);
-
cambiar las consecuencias (2.18);
-
compartir el riesgo con otra parte o partes (incluidos los contratos y la financiación del riesgo); y
-
retener el riesgo mediante una decisión informada.
NOTA 2 Los tratamientos de riesgo que se ocupan de las consecuencias negativas a veces se denominan "mitigación de riesgos",
"
eliminación ”,“ prevención de riesgos ”y“ reducción de riesgos ”.
NOTA 3 El tratamiento de riesgos puede crear nuevos riesgos o modificar los existentes.
[Guía ISO 73: 2009, definición 3.8.1]
2,26
control
medida que modifica el riesgo Y/O lo mantiene  (2.1)
NOTA 1 Los controles incluyen cualquier proceso, política, dispositivo, práctica u otras acciones que modifiquen el riesgo.
NOTA 2 Es posible que los controles no siempre ejerzan el efecto modificador previsto o supuesto.
[Guía ISO 73: 2009, definición [Link]]
2,27
riesgo residual
riesgo (2.1) restante después del tratamiento del riesgo (2.25)
NOTA 1 El riesgo residual puede contener un riesgo no identificado.
NOTA 2 El riesgo residual también se puede conocer como “riesgo retenido”.
[Guía ISO 73: 2009, definición [Link]]
Copyright Organización Internacional de Normalización
Proporcionado por IHS bajo licencia con ISO
No para la reventa
No se permite la reproducción o la conexión en red sin licencia de IHS
--` ,, `` `,,,,` `` `-`-` `` ``, `` `---

Página 15
ISO 31000: 2009 (E)
© ISO 2009 - Todos los derechos reservados
7
2,28
vigilancia
Verificación continua, supervisión, observación crítica o determinación del estado para identificar el cambio de
el nivel de desempeño requerido o esperado
NOTA
El seguimiento puede ser aplicada a un marco de gestión de riesgo (2,3), proceso de gestión de riesgo (2,8), riesgo
(2.1) o control (2.26).
[Guía ISO 73: 2009, definición [Link]]
2,29
revisión
actividad realizada para determinar la idoneidad, adecuación y eficacia del tema en cuestión para lograr
objetivos establecidos
NOTA
La revisión se puede aplicar a un marco de gestión de riesgos (2.3), proceso de gestión de riesgos (2.8), riesgo (2.1)
o control (2.26).
[Guía ISO 73: 2009, definición [Link]]
3 principios
Para que la gestión de riesgos sea eficaz, una organización debe cumplir en todos los niveles con los principios siguientes.
a) La gestión de riesgos crea y protege valor .
La gestión de riesgos contribuye al logro demostrable de los objetivos y la mejora de
desempeño en, por ejemplo, salud y seguridad humana, seguridad, cumplimiento legal y regulatorio,
aceptación, protección del medio ambiente, calidad del producto, gestión de proyectos, eficiencia en las operaciones,
gobernanza y reputación.
b) La gestión de riesgos es una parte integral de todos los procesos organizacionales .
La gestión de riesgos no es una actividad independiente que esté separada de las principales actividades y procesos de
la organización. La gestión de riesgos es parte de las responsabilidades de la dirección y una parte integral de
todos los procesos organizativos, incluida la planificación estratégica y toda la gestión de proyectos y cambios
Procesos.
c) La gestión de riesgos es parte de la toma de decisiones .
La gestión de riesgos ayuda a los tomadores de decisiones a tomar decisiones informadas, priorizar acciones y distinguir
entre cursos de acción alternativos.
d) La gestión de riesgos aborda explícitamente la incertidumbre .
La gestión de riesgos tiene en cuenta explícitamente la incertidumbre, la naturaleza de esa incertidumbre y cómo puede
ser
dirigido.
e) La gestión de riesgos es sistemática, estructurada y oportuna .
Un enfoque sistemático, oportuno y estructurado de la gestión de riesgos contribuye a la eficiencia y a la
Resultados consistentes, comparables y confiables.
f) La gestión de riesgos se basa en la mejor información disponible .
Las entradas al proceso de gestión del riesgo se basan en fuentes de información como datos históricos,
experiencia, retroalimentación de las partes interesadas, observación, pronósticos y juicio de expertos. Sin embargo, la
decisión
los fabricantes deben informarse y deben tener en cuenta cualquier limitación de los datos o
modelado utilizado o la posibilidad de divergencia entre expertos.
Copyright Organización Internacional de Normalización
Proporcionado por IHS bajo licencia con ISO
No para la reventa
No se permite la reproducción o la conexión en red sin licencia de IHS
--` ,, `` `,,,,` `` `-`-` `` ``, `` `---

Página 16
ISO 31000: 2009 (E)
8
© ISO 2009 - Todos los derechos reservados
g) La gestión de riesgos está adaptada .
La gestión de riesgos está alineada con el contexto y el perfil de riesgo externos e internos de la organización.
h) La gestión de riesgos tiene en cuenta factores humanos y culturales .
La gestión de riesgos reconoce las capacidades, percepciones e intenciones de las personas externas e internas.
que pueden facilitar o dificultar el logro de los objetivos de la organización.
i) La gestión de riesgos es transparente e inclusiva .
Participación adecuada y oportuna de las partes interesadas y, en particular, de los tomadores de decisiones en todos los
niveles del
organización, asegura que la gestión de riesgos siga siendo relevante y actualizada. La participación también permite
las partes interesadas estén debidamente representadas y se tengan en cuenta sus puntos de vista al determinar el riesgo
Criterios.
j) La gestión de riesgos es dinámica, iterativa y receptiva al cambio .
La gestión de riesgos detecta y responde continuamente al cambio. A medida que ocurren eventos externos e internos,
cambios en el contexto y el conocimiento, se llevan a cabo el seguimiento y la revisión de los riesgos, surgen nuevos
riesgos, algunos
cambian, y otros desaparecen.
k) La gestión de riesgos facilita la mejora continua de la organización .
Las organizaciones deben desarrollar e implementar estrategias para mejorar su madurez en la gestión de riesgos.
junto con todos los demás aspectos de su organización.
El anexo A proporciona más consejos para las organizaciones que deseen gestionar el riesgo de forma más eficaz.
4 Marco
4.1 General
El éxito de la gestión de riesgos dependerá de la eficacia del marco de gestión que proporcione
los fundamentos y arreglos que lo integrarán en toda la organización en todos los niveles. El marco
ayuda a gestionar los riesgos de forma eficaz mediante la aplicación del proceso de gestión de riesgos (ver Cláusula 5) en
diferentes niveles y dentro de contextos específicos de la organización. El marco asegura que la información sobre
El riesgo derivado del proceso de gestión de riesgos se informa adecuadamente y se utiliza como base para la toma de
decisiones.
toma de decisiones y rendición de cuentas en todos los niveles organizativos relevantes.
Esta cláusula describe los componentes necesarios del marco para gestionar el riesgo y la forma en que
se interrelacionan de manera iterativa, como se muestra en la Figura 2.
Copyright Organización Internacional de Normalización
Proporcionado por IHS bajo licencia con ISO
No para la reventa
No se permite la reproducción o la conexión en red sin licencia de IHS
--` ,, `` `,,,,` `` `-`-` `` ``, `` `---
 Página 17
ISO 31000: 2009 (E)
© ISO 2009 - Todos los derechos reservados
9
Mandato y compromiso (4.2)
Diseño de marco para la gestión de riesgos (4.3)
Comprensión de la organización y su contexto (4.3.1)
Establecimiento de una política de gestión de riesgos (4.3.2)
Responsabilidad (4.3.3)
Integración en los procesos organizacionales (4.3.4)
Recursos (4.3.5)
Establecer comunicación e informes internos
mecanismos (4.3.6)
Establecer comunicación e informes externos
mecanismos (4.3.7)
Implementación de la gestión de riesgos (4.4)
Implementar el marco de gestión
riesgo (4.4.1)
Implementación del proceso de gestión de riesgos
(4.4.2)
Mejora continua del marco
(4,6)
Seguimiento y revisión del marco (4.5)
Figura 2 - Relación entre los componentes del marco para la gestión de riesgos
Este marco no pretende prescribir un sistema de gestión, sino más bien ayudar a la organización a
integrar la gestión de riesgos en su sistema de gestión global. Por lo tanto, las organizaciones deben adaptar el
componentes del marco a sus necesidades específicas.
Si las prácticas y procesos de gestión existentes de una organización incluyen componentes de gestión de riesgos o
si la organización ya ha adoptado un proceso formal de gestión de riesgos para tipos particulares de riesgo o
situaciones, entonces estos deben ser revisados críticamente y evaluados contra esta Norma Internacional, incluyendo
los atributos contenidos en el Anexo A, con el fin de determinar su adecuación y efectividad.
4.2 Mandato y compromiso
La introducción de la gestión de riesgos y la garantía de su eficacia continua requieren
compromiso por parte de la dirección de la organización, así como una planificación estratégica y rigurosa para lograr
compromiso a todos los niveles. La gerencia debe:
- definir y respaldar la política de gestión de riesgos;
- asegurarse de que la cultura de la organización y la política de gestión de riesgos estén alineadas;
- determinar los indicadores de desempeño de la gestión de riesgos que se alinean con los indicadores de desempeño del
organización;
- alinear los objetivos de la gestión de riesgos con los objetivos y estrategias de la organización;
- asegurar el cumplimiento legal y regulatorio;
Copyright Organización Internacional de Normalización
Proporcionado por IHS bajo licencia con ISO
No para la reventa
No se permite la reproducción o la conexión en red sin licencia de IHS
--` ,, `` `,,,,` `` `-`-` `` ``, `` `---

Página 18
ISO 31000: 2009 (E)
10
© ISO 2009 - Todos los derechos reservados
- asignar responsabilidades y responsabilidades en los niveles apropiados dentro de la organización;
- asegurarse de que se asignen los recursos necesarios a la gestión de riesgos;
- comunicar los beneficios de la gestión de riesgos a todas las partes interesadas; y
- garantizar que el marco para la gestión de riesgos sigue siendo adecuado.
4.3 Diseño de marco para la gestión de riesgos
4.3.1 Comprensión de la organización y su contexto
Antes de iniciar el diseño e implementación del marco para la gestión de riesgos, es importante evaluar
y comprender tanto el contexto externo como interno de la organización, ya que estos pueden
influir en el diseño del marco.
La evaluación del contexto externo de la organización puede incluir, pero no se limita a:
a) los aspectos sociales y culturales, políticos, legales, regulatorios, financieros, tecnológicos, económicos, naturales y
entorno competitivo, ya sea internacional, nacional, regional o local;
b) impulsores y tendencias clave que tienen impacto en los objetivos de la organización; y
c) relaciones, percepciones y valores de los grupos de interés externos.
La evaluación del contexto interno de la organización puede incluir, pero no se limita a:
- gobernanza, estructura organizativa, funciones y responsabilidades;
- políticas, objetivos y estrategias que existen para lograrlos;
- capacidades, entendidas en términos de recursos y conocimientos (por ejemplo, capital, tiempo, personas, procesos,
sistemas y tecnologías);
- sistemas de información, flujos de información y procesos de toma de decisiones (tanto formales como informales);
- relaciones, percepciones y valores de las partes interesadas internas;
- la cultura de la organización;
- normas, directrices y modelos adoptados por la organización; y
- la forma y el alcance de las relaciones contractuales.
4.3.2 Establecimiento de una política de gestión de riesgos
La política de gestión de riesgos debe establecer claramente los objetivos y el compromiso de la organización con respecto
a los riesgos.
gestión y normalmente aborda lo siguiente:
- el fundamento de la organización para gestionar el riesgo;
- vínculos entre los objetivos y políticas de la organización y la política de gestión de riesgos;
- rendición de cuentas y responsabilidades para gestionar el riesgo;
- la forma en que se tratan los intereses en conflicto;
Copyright Organización Internacional de Normalización
Proporcionado por IHS bajo licencia con ISO
No para la reventa
No se permite la reproducción o la conexión en red sin licencia de IHS
--` ,, `` `,,,,` `` `-`-` `` ``, `` `---

Página 19
ISO 31000: 2009 (E)
© ISO 2009 - Todos los derechos reservados
11
- compromiso de poner a disposición los recursos necesarios para ayudar a los responsables de
la gestión del riesgo;
- la forma en que se medirá y notificará el desempeño de la gestión de riesgos; y
- compromiso de revisar y mejorar la política y el marco de gestión de riesgos periódicamente y en
respuesta a un evento o cambio de circunstancias.
La política de gestión de riesgos debe comunicarse de forma adecuada.
4.3.3 Responsabilidad
La organización debe asegurarse de que exista responsabilidad, autoridad y competencia adecuada para
gestión de riesgos, incluida la implementación y el mantenimiento del proceso de gestión de riesgos y la garantía de
idoneidad, eficacia y eficiencia de los controles. Esto puede facilitarse mediante:
- identificar a los propietarios de riesgos que tienen la responsabilidad y la autoridad para gestionar los riesgos;
- identificar quién es responsable del desarrollo, implementación y mantenimiento del marco
para gestionar el riesgo;
- Identificar otras responsabilidades de las personas en todos los niveles de la organización para la gestión de riesgos.
proceso;
- establecer la medición del desempeño y los procesos de escalado e informes externos y / o internos;
y
- garantizar niveles adecuados de reconocimiento.
4.3.4 Integración en los procesos organizativos
La gestión de riesgos debe estar integrada en todas las prácticas y procesos de la organización de una manera que sea
relevante, eficaz y eficiente. El proceso de gestión de riesgos debe formar parte de, y no separarse de,
esos procesos organizacionales. En particular, la gestión de riesgos debe integrarse en la política
desarrollo, planificación y revisión de negocios y estratégicos, y procesos de gestión de cambios.
Debe haber un plan de gestión de riesgos para toda la organización para garantizar que la política de gestión de riesgos sea
implementado y que la gestión de riesgos está integrada en todas las prácticas y procesos de la organización. los
El plan de gestión de riesgos se puede integrar en otros planes organizativos, como un plan estratégico.
4.3.5 Recursos
La organización debería asignar los recursos adecuados para la gestión de riesgos.
Debe tenerse en cuenta lo siguiente:
- personas, habilidades, experiencia y competencia;
- recursos necesarios para cada paso del proceso de gestión de riesgos;
- los procesos, métodos y herramientas de la organización que se utilizarán para gestionar el riesgo;
- procesos y procedimientos documentados;
- sistemas de gestión de la información y el conocimiento; y
- programas de formación.
Copyright Organización Internacional de Normalización
Proporcionado por IHS bajo licencia con ISO
No para la reventa
No se permite la reproducción o la conexión en red sin licencia de IHS
--` ,, `` `,,,,` `` `-`-` `` ``, `` `---

Página 20
ISO 31000: 2009 (E)
12
© ISO 2009 - Todos los derechos reservados
4.3.6 Establecimiento de mecanismos de comunicación e informes internos
La organización debe establecer mecanismos internos de comunicación y presentación de informes para respaldar y
Fomentar la responsabilidad y la propiedad del riesgo. Estos mecanismos deben garantizar que:
- los componentes clave del marco de gestión de riesgos, y cualquier modificación posterior, son
comunicado apropiadamente;
- existe información interna adecuada sobre el marco, su eficacia y los resultados;
- la información relevante derivada de la aplicación de la gestión de riesgos está disponible en los niveles apropiados
y tiempos; y
- existen procesos de consulta con las partes interesadas internas.
Estos mecanismos deberían, cuando sea apropiado, incluir procesos para consolidar la información de riesgo de un
variedad de fuentes, y puede ser necesario considerar la sensibilidad de la información.
4.3.7 Establecimiento de mecanismos externos de comunicación y presentación de informes
La organización debe desarrollar e implementar un plan sobre cómo se comunicará con los
partes interesadas. Esto debería involucrar:
- involucrar a las partes interesadas externas apropiadas y asegurar un intercambio efectivo de información;
- informes externos para cumplir con los requisitos legales, reglamentarios y de gobierno;
- proporcionar comentarios e informes sobre la comunicación y la consulta;
- utilizar la comunicación para generar confianza en la organización; y
- comunicarse con las partes interesadas en caso de crisis o contingencia.
Estos mecanismos deberían, cuando sea apropiado, incluir procesos para consolidar la información de riesgo de un
variedad de fuentes, y puede ser necesario considerar la sensibilidad de la información.
4.4 Implementación de la gestión de riesgos
4.4.1 Implementación del marco para la gestión de riesgos
Al implementar el marco de la organización para la gestión de riesgos, la organización debería:
- definir el calendario y la estrategia adecuados para implementar el marco;
- aplicar la política y el proceso de gestión de riesgos a los procesos organizativos;
- cumplir con los requisitos legales y reglamentarios;
- garantizar que la toma de decisiones, incluido el desarrollo y el establecimiento de objetivos, esté alineada con la
resultados de los procesos de gestión de riesgos;
- realizar sesiones de información y formación; y
- comunicarse y consultar con las partes interesadas para garantizar que su marco de gestión de riesgos se mantenga
apropiado.
Copyright Organización Internacional de Normalización
Proporcionado por IHS bajo licencia con ISO
No para la reventa
No se permite la reproducción o la conexión en red sin licencia de IHS
--` ,, `` `,,,,` `` `-`-` `` ``, `` `---

Página 21
ISO 31000: 2009 (E)
© ISO 2009 - Todos los derechos reservados
13
4.4.2 Implementación del proceso de gestión de riesgos
La gestión de riesgos debe implementarse asegurando que el proceso de gestión de riesgos descrito en la Cláusula 5
se aplica a través de un plan de gestión de riesgos en todos los niveles y funciones relevantes de la organización como
parte de su
prácticas y procesos.
4.5 Seguimiento y revisión del marco
Con el fin de garantizar que la gestión de riesgos sea eficaz y continúe respaldando el desempeño organizacional, el
la organización debería:
- medir el desempeño de la gestión de riesgos contra indicadores, que se revisan periódicamente para
oportunidad;
- medir periódicamente el progreso y la desviación del plan de gestión de riesgos;
- revisar periódicamente si el marco, la política y el plan de gestión de riesgos siguen siendo adecuados,
el contexto externo e interno de las organizaciones;
- informar sobre el riesgo, el progreso con el plan de gestión de riesgos y qué tan bien está siendo la política de gestión de
riesgos
seguido; y
- revisar la eficacia del marco de gestión de riesgos.
4.6 Mejora continua del marco
Sobre la base de los resultados del seguimiento y las revisiones, se deben tomar decisiones sobre cómo la gestión de
riesgos
el marco, la política y el plan pueden mejorarse. Estas decisiones deberían conducir a mejoras en el
la gestión de riesgos de la organización y su cultura de gestión de riesgos.
5 Proceso
5.1 General
El proceso de gestión de riesgos debe ser
- una parte integral de la gestión,
- incrustado en la cultura y las prácticas, y
- adaptado a los procesos comerciales de la organización.
Comprende las actividades descritas en 5.2 a 5.6. El proceso de gestión de riesgos se muestra en la Figura 3.
Copyright Organización Internacional de Normalización
Proporcionado por IHS bajo licencia con ISO
No para la reventa
No se permite la reproducción o la conexión en red sin licencia de IHS
--` ,, `` `,,,,` `` `-`-` `` ``, `` `---

Página 22
ISO 31000: 2009 (E)
14
© ISO 2009 - Todos los derechos reservados
Evaluación de riesgos (5.4)
Comunicación
y
consulta
(5,2)
Vigilancia
y
revisión (5.6)
Establecer el contexto (5.3)
Análisis de riesgo (5.4.3)
Evaluación de riesgos (5.4.4)
Tratamiento de riesgos (5.5)
Identificación de riesgos (5.4.2)
Figura 3 - Proceso de gestión de riesgos
5.2 Comunicación y consulta
La comunicación y la consulta con las partes interesadas externas e internas deben tener lugar durante todas las etapas de
el proceso de gestión de riesgos.
Por lo tanto, los planes de comunicación y consulta deben desarrollarse en una etapa temprana. Estos deberían
abordar cuestiones relacionadas con el riesgo en sí, sus causas, sus consecuencias (si se conocen) y las medidas que se
tomado para tratarlo. Deben realizarse consultas y comunicaciones externas e internas efectivas para garantizar
que los responsables de la implementación del proceso de gestión de riesgos y las partes interesadas comprendan la base
sobre qué decisiones se toman y las razones por las que se requieren acciones particulares.
Un enfoque de equipo consultivo puede:
- ayudar a establecer el contexto de manera adecuada;
- asegurarse de que se comprendan y consideren los intereses de las partes interesadas;
- ayudar a garantizar que los riesgos se identifiquen adecuadamente;
- reunir diferentes áreas de especialización para analizar riesgos;
- asegurarse de que se tengan debidamente en cuenta los diferentes puntos de vista al definir los criterios de riesgo y al
evaluar los riesgos;
- respaldo seguro y apoyo para un plan de tratamiento;
Copyright Organización Internacional de Normalización
Proporcionado por IHS bajo licencia con ISO
No para la reventa
No se permite la reproducción o la conexión en red sin licencia de IHS
--` ,, `` `,,,,` `` `-`-` `` ``, `` `---

Página 23
ISO 31000: 2009 (E)
© ISO 2009 - Todos los derechos reservados
15
- mejorar la gestión de cambios adecuada durante el proceso de gestión de riesgos; y
- Desarrollar un plan de consulta y comunicación externo e interno adecuado.
La comunicación y consulta con las partes interesadas es importante, ya que emiten juicios sobre el riesgo basados en
sus percepciones de riesgo. Estas percepciones pueden variar debido a diferencias en valores, necesidades, supuestos,
conceptos y preocupaciones de las partes interesadas. Dado que sus opiniones pueden tener un impacto significativo en las
decisiones tomadas,
Las percepciones de las partes interesadas deben identificarse, registrarse y tenerse en cuenta en la toma de decisiones.
proceso.
La comunicación y la consulta deben facilitar intercambios veraces, pertinentes, precisos y comprensibles.
de información, teniendo en cuenta aspectos de confidencialidad e integridad personal.
5.3 Establecer el contexto
5.3.1 General
Al establecer el contexto, la organización articula sus objetivos, define los aspectos externos e internos.
parámetros a tener en cuenta a la hora de gestionar el riesgo, y establece el alcance y los criterios de riesgo para la
proceso restante. Si bien muchos de estos parámetros son similares a los considerados en el diseño del riesgo
marco de gestión (véase 4.3.1), al establecer el contexto para el proceso de gestión de riesgos,
deben considerarse con mayor detalle y, en particular, cómo se relacionan con el alcance del riesgo particular
proceso de gestión.
5.3.2 Establecimiento del contexto externo
El contexto externo es el entorno externo en el que la organización busca lograr sus objetivos.
Comprender el contexto externo es importante para garantizar que los objetivos y preocupaciones de los
se tienen en cuenta las partes interesadas al desarrollar los criterios de riesgo. Se basa en el contexto de toda la
organización, pero
con detalles específicos de los requisitos legales y reglamentarios, las percepciones de las partes interesadas y otros
aspectos de los riesgos
específicos al alcance del proceso de gestión de riesgos.
El contexto externo puede incluir, entre otros:
- los aspectos sociales y culturales, políticos, legales, regulatorios, financieros, tecnológicos, económicos, naturales y
entorno competitivo, ya sea internacional, nacional, regional o local;
- impulsores y tendencias clave que tienen impacto en los objetivos de la organización; y
- relaciones, percepciones y valores de los grupos de interés externos.
5.3.3 Establecimiento del contexto interno
El contexto interno es el entorno interno en el que la organización busca lograr sus objetivos.
El proceso de gestión de riesgos debe estar alineado con la cultura, los procesos, la estructura y la estructura de la
organización.
estrategia. El contexto interno es cualquier cosa dentro de la organización que pueda influir en la forma en que
la organización gestionará el riesgo. Debería establecerse porque:
a) la gestión de riesgos tiene lugar en el contexto de los objetivos de la organización;
b) los objetivos y criterios de un proyecto, proceso o actividad en particular deben considerarse a la luz de
objetivos de la organización en su conjunto; y
c) algunas organizaciones no reconocen las oportunidades para lograr sus objetivos estratégicos, de proyecto o
comerciales,
y esto afecta el compromiso, la credibilidad, la confianza y el valor de la organización en curso.
Copyright Organización Internacional de Normalización
Proporcionado por IHS bajo licencia con ISO
No para la reventa
No se permite la reproducción o la conexión en red sin licencia de IHS
--` ,, `` `,,,,` `` `-`-` `` ``, `` `---

Página 24
ISO 31000: 2009 (E)
dieciséis
© ISO 2009 - Todos los derechos reservados
Es necesario comprender el contexto interno. Esto puede incluir, entre otros:
- gobernanza, estructura organizativa, funciones y responsabilidades;
- políticas, objetivos y estrategias que existen para lograrlos;
- capacidades, entendidas en términos de recursos y conocimientos (por ejemplo, capital, tiempo, personas, procesos,
sistemas y tecnologías);
- las relaciones, las percepciones y los valores de las partes interesadas internas;
- la cultura de la organización;
- sistemas de información, flujos de información y procesos de toma de decisiones (tanto formales como informales);
- normas, directrices y modelos adoptados por la organización; y
- forma y alcance de las relaciones contractuales.
5.3.4 Establecimiento del contexto del proceso de gestión de riesgos
Los objetivos, estrategias, alcance y parámetros de las actividades de la organización, o aquellas partes de la
organización en la que se aplica el proceso de gestión de riesgos. La gestión
riesgo se debe emprender teniendo plenamente en cuenta la necesidad de justificar los recursos utilizados para llevar a
cabo
gestión de riesgos. Los recursos necesarios, las responsabilidades y autoridades, y los registros que se deben mantener
deben
también se especificará.
El contexto del proceso de gestión de riesgos variará según las necesidades de una organización. Puede involucrar,
pero no se limita a:
- definir las metas y objetivos de las actividades de gestión de riesgos;
- definir responsabilidades para y dentro del proceso de gestión de riesgos;
- definir el alcance, así como la profundidad y amplitud de las actividades de gestión de riesgos que se llevarán a cabo,
incluyendo inclusiones y exclusiones específicas;
- definir la actividad, proceso, función, proyecto, producto, servicio o activo en términos de tiempo y ubicación;
- definir las relaciones entre un proyecto, proceso o actividad en particular y otros proyectos, procesos o
actividades de la organización;
- definir las metodologías de evaluación de riesgos;
- definir la forma en que se evalúa el desempeño y la eficacia en la gestión del riesgo;
- identificar y especificar las decisiones que deben tomarse; y
- identificar, definir el alcance o enmarcar los estudios necesarios, su alcance y objetivos, y los recursos necesarios para
tales estudios.
La atención a estos y otros factores relevantes debería ayudar a asegurar que el enfoque de gestión de riesgos adoptado
es apropiado a las circunstancias, a la organización y a los riesgos que afectan el logro de sus
objetivos.
Copyright Organización Internacional de Normalización
Proporcionado por IHS bajo licencia con ISO
No para la reventa
No se permite la reproducción o la conexión en red sin licencia de IHS
--` ,, `` `,,,,` `` `-`-` `` ``, `` `---

Página 25
ISO 31000: 2009 (E)
© ISO 2009 - Todos los derechos reservados
17
5.3.5 Definición de criterios de riesgo
La organización debería definir los criterios que se utilizarán para evaluar la importancia del riesgo. Los criterios deben
reflejar los valores, objetivos y recursos de la organización. Algunos criterios pueden ser impuestos o derivados de
requisitos legales y reglamentarios y otros requisitos que la organización suscribe. Criterios de riesgo
debe ser coherente con la política de gestión de riesgos de la organización (ver 4.3.2), definirse al principio
de cualquier proceso de gestión de riesgos y ser revisados continuamente.
Al definir los criterios de riesgo, los factores a considerar deben incluir lo siguiente:
- la naturaleza y tipos de causas y consecuencias que pueden ocurrir y cómo se medirán;
- cómo se definirá la probabilidad;
- el (los) período (s) de tiempo de probabilidad y / o consecuencia (s);
- cómo se determinará el nivel de riesgo;
- las opiniones de las partes interesadas;
- el nivel en el que el riesgo se vuelve aceptable o tolerable; y
- si deben tenerse en cuenta las combinaciones de múltiples riesgos y, en caso afirmativo, cómo y qué
Deben considerarse combinaciones.
5.4 Evaluación de riesgos
5.4.1 General
La evaluación de riesgos es el proceso general de identificación de riesgos, análisis de riesgos y evaluación de riesgos.
NOTA
ISO / IEC 31010 proporciona orientación sobre técnicas de evaluación de riesgos.
5.4.2 Identificación de riesgos
La organización debe identificar fuentes de riesgo, áreas de impacto, eventos (incluidos cambios en
circunstancias) y sus causas y posibles consecuencias. El objetivo de este paso es generar una
lista completa de riesgos basada en aquellos eventos que pueden crear, mejorar, prevenir, degradar, acelerar o
retrasar la consecución de los objetivos. Es importante identificar los riesgos asociados con no perseguir un
oportunidad. La identificación completa es fundamental, porque un riesgo que no se identifica en esta etapa no será
incluido en un análisis adicional.
La identificación debe incluir riesgos independientemente de que su fuente esté o no bajo el control de la organización,
incluso
aunque la fuente o causa del riesgo puede no ser evidente. La identificación de riesgos debe incluir el examen de
efectos colaterales de consecuencias particulares, incluidos los efectos en cascada y acumulativos. También debería
considere una amplia gama de consecuencias, incluso si la fuente o causa del riesgo puede no ser evidente. Al igual que
Para identificar lo que podría suceder, es necesario considerar posibles causas y escenarios que muestren lo que
pueden ocurrir consecuencias. Se deben considerar todas las causas y consecuencias importantes.
La organización debería aplicar herramientas y técnicas de identificación de riesgos que se adapten a sus objetivos y
capacidades, y a los riesgos enfrentados. La información relevante y actualizada es importante para identificar
riesgos. Esta
debe incluir información de antecedentes adecuada cuando sea posible. Las personas con los conocimientos adecuados
deben
participar en la identificación de riesgos.
Copyright Organización Internacional de Normalización
Proporcionado por IHS bajo licencia con ISO
No para la reventa
No se permite la reproducción o la conexión en red sin licencia de IHS
--` ,, `` `,,,,` `` `-`-` `` ``, `` `---

Página 26
ISO 31000: 2009 (E)
18
© ISO 2009 - Todos los derechos reservados
5.4.3 Análisis de riesgos
El análisis de riesgos implica desarrollar una comprensión del riesgo. El análisis de riesgo proporciona una entrada para el
riesgo
evaluación y decisiones sobre si los riesgos deben tratarse y sobre el tratamiento de riesgos más apropiado
estrategias y métodos. El análisis de riesgos también puede proporcionar una entrada para la toma de decisiones donde las
opciones deben ser
realizado y las opciones implican diferentes tipos y niveles de riesgo.
El análisis de riesgo implica la consideración de las causas y fuentes de riesgo, sus aspectos positivos y negativos.
consecuencias, y la probabilidad de que esas consecuencias puedan ocurrir. Factores que afectan las consecuencias y
debe identificarse la probabilidad. El riesgo se analiza determinando las consecuencias y su probabilidad, y otros
atributos del riesgo. Un evento puede tener múltiples consecuencias y afectar a múltiples objetivos. Existente
También deben tenerse en cuenta los controles y su eficacia y eficiencia.
La forma en que se expresan las consecuencias y la probabilidad y la forma en que se combinan para
determinar un nivel de riesgo debe reflejar el tipo de riesgo, la información disponible y el propósito para el cual el
se utilizará el resultado de la evaluación de riesgos. Todos ellos deben ser coherentes con los criterios de riesgo. Tambien
es importante
considerar la interdependencia de diferentes riesgos y sus fuentes.
La confianza en la determinación del nivel de riesgo y su sensibilidad a las condiciones previas y los supuestos debe
ser considerados en el análisis y comunicados de manera efectiva a los tomadores de decisiones y, según corresponda, a
otros
partes interesadas. Factores como divergencia de opiniones entre expertos, incertidumbre, disponibilidad, calidad,
cantidad
y la relevancia continua de la información, o las limitaciones en el modelado, deben indicarse y pueden destacarse.
El análisis de riesgos se puede realizar con diversos grados de detalle, según el riesgo, el propósito de la
análisis, y la información, datos y recursos disponibles. El análisis puede ser cualitativo, semicuantitativo o
cuantitativo, o una combinación de estos, dependiendo de las circunstancias.
Las consecuencias y su probabilidad se pueden determinar modelando los resultados de un evento o conjunto de eventos,
o por extrapolación de estudios experimentales o de datos disponibles. Las consecuencias se pueden expresar en
términos de impactos tangibles e intangibles. En algunos casos, más de un valor numérico o descriptor es
Se requiere especificar las consecuencias y su probabilidad para diferentes momentos, lugares, grupos o situaciones.
5.4.4 Evaluación de riesgos
El propósito de la evaluación de riesgos es ayudar a tomar decisiones, basadas en los resultados del análisis de riesgos,
sobre
qué riesgos necesitan tratamiento y la prioridad para la implementación del tratamiento.
La evaluación de riesgos implica comparar el nivel de riesgo encontrado durante el proceso de análisis con los criterios de
riesgo.
establecido cuando se consideró el contexto. Con base en esta comparación, la necesidad de tratamiento puede ser
considerado.
Las decisiones deben tener en cuenta el contexto más amplio del riesgo e incluir la consideración de la tolerancia de la
Riesgos asumidos por partes distintas de la organización que se beneficia del riesgo. Las decisiones deben tomarse en
de acuerdo con los requisitos legales, reglamentarios y de otro tipo.
En algunas circunstancias, la evaluación de riesgos puede llevar a la decisión de realizar un análisis más detallado. El
riesgo
La evaluación también puede llevar a la decisión de no tratar el riesgo de otra forma que no sea manteniendo los controles
existentes.
Esta decisión estará influenciada por la actitud de riesgo de la organización y los criterios de riesgo que se han
establecido.
5.5 Tratamiento de riesgos
5.5.1 General
El tratamiento de riesgos implica seleccionar una o más opciones para modificar los riesgos e implementar esas opciones.
Una vez implementados, los tratamientos proporcionan o modifican los controles.
Copyright Organización Internacional de Normalización
Proporcionado por IHS bajo licencia con ISO
No para la reventa
No se permite la reproducción o la conexión en red sin licencia de IHS
--` ,, `` `,,,,` `` `-`-` `` ``, `` `---

Página 27
ISO 31000: 2009 (E)
© ISO 2009 - Todos los derechos reservados
19
El tratamiento de riesgos implica un proceso cíclico de:
- evaluación de un tratamiento de riesgo;
- decidir si los niveles de riesgo residual son tolerables;
- si no es tolerable, generar un nuevo tratamiento de riesgo; y
- evaluar la eficacia de ese tratamiento.
Las opciones de tratamiento de riesgos no son necesariamente mutuamente excluyentes o apropiadas en todas las
circunstancias. Las opciones
puede incluir lo siguiente:
a) evitar el riesgo al decidir no iniciar o continuar con la actividad que origina el riesgo;
b) asumir o aumentar el riesgo para aprovechar una oportunidad;
c) eliminar la fuente de riesgo;
d) cambiar la probabilidad;
e) cambiar las consecuencias;
f) compartir el riesgo con otra parte o partes (incluidos los contratos y la financiación del riesgo); y
g) retener el riesgo mediante una decisión informada.
5.5.2 Selección de opciones de tratamiento de riesgos
Seleccionar la opción de tratamiento de riesgo más adecuada implica equilibrar los costos y los esfuerzos de
implementación contra los beneficios derivados, en lo que respecta a los requisitos legales, reglamentarios y de otro tipo,
tales como
responsabilidad social y protección del medio ambiente natural. Las decisiones también deben tener en cuenta
Riesgos que pueden justificar un tratamiento del riesgo que no se justifica por motivos económicos, por ejemplo, graves
(alto nivel negativo
consecuencia) pero riesgos raros (de baja probabilidad).
Se pueden considerar y aplicar varias opciones de tratamiento, ya sea individualmente o en combinación. los
La organización normalmente puede beneficiarse de la adopción de una combinación de opciones de tratamiento.
Al seleccionar opciones de tratamiento de riesgos, la organización debe considerar los valores y percepciones de
interesados y las formas más adecuadas de comunicarse con ellos. Donde las opciones de tratamiento de riesgo pueden
impacto en el riesgo en otras partes de la organización o con las partes interesadas, estas deben participar en la decisión.
Aunque igualmente efectivos, algunos tratamientos de riesgo pueden ser más aceptables para algunas partes interesadas
que para otras.
El plan de tratamiento debe identificar claramente el orden de prioridad en el que deben aplicarse los tratamientos de
riesgo individual.
implementado.
El tratamiento de riesgos en sí mismo puede introducir riesgos. Un riesgo significativo puede ser el fracaso o la ineficacia
del riesgo.
medidas de tratamiento. El seguimiento debe ser una parte integral del plan de tratamiento de riesgos para garantizar que
las medidas siguen siendo eficaces.
El tratamiento de riesgos también puede introducir riesgos secundarios que necesitan ser evaluados, tratados,
monitoreados y revisados.
Estos riesgos secundarios deben incorporarse al mismo plan de tratamiento que el riesgo original y no deben tratarse.
como un nuevo riesgo. Debe identificarse y mantenerse el vínculo entre los dos riesgos.
Copyright Organización Internacional de Normalización
Proporcionado por IHS bajo licencia con ISO
No para la reventa
No se permite la reproducción o la conexión en red sin licencia de IHS
--` ,, `` `,,,,` `` `-`-` `` ``, `` `---

Página 28
ISO 31000: 2009 (E)
20
© ISO 2009 - Todos los derechos reservados
5.5.3 Elaboración e implementación de planes de tratamiento de riesgos
El propósito de los planes de tratamiento de riesgos es documentar cómo se implementarán las opciones de tratamiento
elegidas.
La información proporcionada en los planes de tratamiento debe incluir:
- las razones para la selección de opciones de tratamiento, incluidos los beneficios esperados;
- los responsables de aprobar el plan y los responsables de implementar el plan;
- acciones propuestas;
- necesidades de recursos, incluidas contingencias;
- medidas de desempeño y limitaciones;
- requisitos de información y seguimiento; y
- calendario y horario.
Los planes de tratamiento deben integrarse con los procesos de gestión de la organización y discutirse con
partes interesadas apropiadas.
Los tomadores de decisiones y otras partes interesadas deben ser conscientes de la naturaleza y el alcance del riesgo
residual después
tratamiento de riesgo. El riesgo residual debe documentarse y someterse a seguimiento, revisión y, cuando
tratamiento posterior apropiado.
5.6 Seguimiento y revisión
Tanto el seguimiento como la revisión deben ser una parte planificada del proceso de gestión de riesgos e involucrar
control o vigilancia. Puede ser periódico o ad hoc .
Las responsabilidades de seguimiento y revisión deben estar claramente definidas.
Los procesos de seguimiento y revisión de la organización deberían abarcar todos los aspectos de la gestión de riesgos.
proceso a los efectos de:
- asegurar que los controles sean efectivos y eficientes tanto en el diseño como en la operación;
- obtener más información para mejorar la evaluación de riesgos;
- analizar y aprender lecciones de eventos (incluidos cuasi accidentes), cambios, tendencias, éxitos y
fracasos;
- detectar cambios en el contexto externo e interno, incluidos los cambios en los criterios de riesgo y el riesgo en sí
que puede requerir la revisión de tratamientos y prioridades de riesgo; y
- identificación de riesgos emergentes.
El progreso en la implementación de planes de tratamiento de riesgos proporciona una medida de desempeño. Los
resultados pueden ser
incorporados en la gestión del desempeño general de la organización, la medición y los servicios externos e internos.
actividades de informes.
Los resultados del seguimiento y la revisión deben registrarse e informarse externa e internamente según corresponda.
y también debe utilizarse como un aporte para la revisión del marco de gestión de riesgos (ver 4.5).
Copyright Organización Internacional de Normalización
Proporcionado por IHS bajo licencia con ISO
No para la reventa
No se permite la reproducción o la conexión en red sin licencia de IHS
--` ,, `` `,,,,` `` `-`-` `` ``, `` `---

Página 29
ISO 31000: 2009 (E)
© ISO 2009 - Todos los derechos reservados
21
5.7 Registro del proceso de gestión de riesgos
Las actividades de gestión de riesgos deben ser rastreables. En el proceso de gestión de riesgos, los registros proporcionan
la
base para la mejora en métodos y herramientas, así como en el proceso en general.
Las decisiones relativas a la creación de registros deben tener en cuenta:
- las necesidades de aprendizaje continuo de la organización;
- beneficios de reutilizar la información con fines de gestión;
- costos y esfuerzos involucrados en la creación y mantenimiento de registros;
- necesidades legales, reglamentarias y operativas de registros;
- método de acceso, facilidad de recuperación y medios de almacenamiento;
- período de retención; y
- sensibilidad de la información.
Copyright Organización Internacional de Normalización
Proporcionado por IHS bajo licencia con ISO
No para la reventa
No se permite la reproducción o la conexión en red sin licencia de IHS
--` ,, `` `,,,,` `` `-`-` `` ``, `` `---

Página 30
ISO 31000: 2009 (E)
22
© ISO 2009 - Todos los derechos reservados

Anexo A
(informativo)
Atributos de una mejor gestión de riesgos
A.1 General
Todas las organizaciones deben apuntar al nivel apropiado de desempeño de su marco de gestión de riesgos en
en consonancia con la criticidad de las decisiones que se vayan a tomar. La lista de atributos a continuación representa un
nivel alto
del desempeño en la gestión del riesgo. Ayudar a las organizaciones a medir su propio desempeño frente a estos
criterios, se dan algunos indicadores tangibles para cada atributo.
A.2 Resultados clave
A.2.1 La organización tiene un conocimiento actual, correcto y completo de sus riesgos.
A.2.2 Los riesgos de la organización están dentro de sus criterios de riesgo.
A.3 Atributos
A.3.1 Mejora continua
Se hace hincapié en la mejora continua de la gestión de riesgos mediante el establecimiento de
metas de desempeño, medición, revisión y posterior modificación de procesos, sistemas, recursos,
capacidad y habilidades.
Esto puede indicarse por la existencia de metas de desempeño explícitas contra las cuales la organización y
se mide el desempeño del gerente individual. El desempeño de la organización se puede publicar y
Comunicado. Normalmente, habrá al menos una revisión anual del desempeño y luego una revisión de
procesos, y el establecimiento de objetivos de desempeño revisados para el período siguiente.
Esta evaluación del desempeño de la gestión de riesgos es una parte integral del desempeño general de la organización.
sistema de evaluación y medición para departamentos y particulares.
A.3.2 Total responsabilidad por los riesgos
La gestión de riesgos mejorada incluye una rendición de cuentas de los riesgos integral, totalmente definida y totalmente
aceptada,
controles y tareas de tratamiento de riesgos. Las personas designadas aceptan plenamente la responsabilidad, están
debidamente capacitadas
y tener los recursos adecuados para verificar los controles, monitorear los riesgos, mejorar los controles y comunicarse de
manera efectiva
sobre los riesgos y su gestión a los grupos de interés externos e internos.
Esto puede ser indicado por todos los miembros de una organización siendo plenamente conscientes de los riesgos,
controles y tareas para
que son responsables. Normalmente, esto se registrará en descripciones de puestos / puestos, bases de datos o
sistemas de información. La definición de roles, responsabilidades y responsabilidades de gestión de riesgos debe ser
parte de todos los programas de inducción de la organización.
La organización se asegura de que aquellos que son responsables estén equipados para cumplir ese papel
proporcionándoles
con la autoridad, el tiempo, la capacitación, los recursos y las habilidades suficientes para asumir sus responsabilidades.
Copyright Organización Internacional de Normalización
Proporcionado por IHS bajo licencia con ISO
No para la reventa
No se permite la reproducción o la conexión en red sin licencia de IHS
--` ,, `` `,,,,` `` `-`-` `` ``, `` `---

Página 31
ISO 31000: 2009 (E)
© ISO 2009 - Todos los derechos reservados
23
A.3.3 Aplicación de la gestión de riesgos en toda la toma de decisiones
Toda la toma de decisiones dentro de la organización, cualquiera que sea el nivel de importancia y significación, involucra
al
consideración explícita de los riesgos y la aplicación de la gestión de riesgos en algún grado apropiado.
Esto puede indicarse mediante registros de reuniones y decisiones para mostrar que se llevaron a cabo discusiones
explícitas sobre los riesgos.
lugar. Además, debería ser posible ver que todos los componentes de la gestión de riesgos están representados dentro
procesos clave para la toma de decisiones en la organización, por ejemplo, para decisiones sobre la asignación de capital,
sobre los principales
proyectos y sobre reestructuraciones y cambios organizativos. Por estas razones, un riesgo con una base sólida
Se considera que la gestión dentro de la organización proporciona la base para una gobernanza eficaz.
A.3.4 Comunicaciones continuas
La gestión de riesgos mejorada incluye comunicaciones continuas con las partes interesadas externas e internas,
incluyendo informes completos y frecuentes del desempeño de la gestión de riesgos, como parte de una buena
gobernancia.
Esto se puede indicar mediante la comunicación con las partes interesadas como un componente integral y esencial del
riesgo.
administración. La comunicación se considera correctamente como un proceso bidireccional, de modo que las decisiones
debidamente informadas pueden
sobre el nivel de riesgos y la necesidad de un tratamiento de riesgos contra
Criterios integrales de riesgo.
Informes externos e internos exhaustivos y frecuentes tanto sobre riesgos significativos como sobre gestión de riesgos.
el desempeño contribuye sustancialmente a la gobernanza eficaz dentro de una organización.
A.3.5 Integración total en la estructura de gobierno de la organización
La gestión de riesgos se considera fundamental para los procesos de gestión de la organización, de modo que los riesgos
son
considerado en términos del efecto de la incertidumbre sobre los objetivos. La estructura y el proceso de gobernanza se
basan en
la gestión del riesgo. Los gerentes consideran que la gestión de riesgos eficaz es esencial para el logro
de los objetivos de la organización.
Esto está indicado por el lenguaje de los gerentes y los materiales escritos importantes en la organización que usan el
término
“Incertidumbre” en relación con los riesgos. Este atributo también se refleja normalmente en las declaraciones de la
organización.
de política, en particular los relacionados con la gestión de riesgos. Normalmente, este atributo se verificaría mediante
entrevistas con los gerentes y mediante la evidencia de sus acciones y declaraciones.
Copyright Organización Internacional de Normalización
Proporcionado por IHS bajo licencia con ISO
No para la reventa
No se permite la reproducción o la conexión en red sin licencia de IHS
--` ,, `` `,,,,` `` `-`-` `` ``, `` `---

Página 32
ISO 31000: 2009 (E)
24
© ISO 2009 - Todos los derechos reservados

Bibliografía
[1]
Guía ISO 73: 2009, Gestión de riesgos - Vocabulario
[2]
ISO / IEC 31010, Gestión de riesgos - Técnicas de evaluación de riesgos
Copyright Organización Internacional de Normalización
Proporcionado por IHS bajo licencia con ISO
No para la reventa
No se permite la reproducción o la conexión en red sin licencia de IHS
--` ,, `` `,,,,` `` `-`-` `` ``, `` `---

Página 33
Copyright Organización Internacional de Normalización
Proporcionado por IHS bajo licencia con ISO
No para la reventa
No se permite la reproducción o la conexión en red sin licencia de IHS
--` ,, `` `,,,,` `` `-`-` `` ``, `` `---
 Página 34
ISO 31000: 2009 (E)
ICS 03.100.01
Precio basado en 24 página