NORMA TECNICA NIP-ISO 31000 PERUANA 2011 Comision de Normalizacion y de Fiscalizacién de Barreras Comerciales No Arancelarias-INDECOPI Calle de La Prosa 104, San Borja (Lima 41) Apartado 145 Lima, Pers GESTION DEL RIESGO. Principios y directrices RISK MANAGEMENT: Principles and guidlines (EQV. 180 31000:2009 Risk management ~ Principles and guidelines) 2011-03-30 1" Edicién .0007-2011/ CNB-INDECOPI. Publicada el 2011-04-14 Precio basado en 30 pésginas LCS.:03.100.01 ESTA NORMA ES RECOMENDABLE Descriptores: Gestion, riesgo, principio, directriz, directrices DOCUMENTO CONTROLADO No Fotocopiar sin autorizacién41 4.2 43 43.1 43.2 43.3 434 43.5 43.6 43.7 44 441 442 45 46 BRGRS INDICE PREFACIO PROLOGO INTRODUCCION OBJETO Y CAMPO DE APLICACION ‘TERMINOS Y DEFINICIONES. PRINCIPIOS MARCO DE TRABAJO Generalidades Mandato y compromiso Disefio del marco de trabajo de la gestion del riesgo Comprensién de la organizacién y de su contexto Establecimiento de la politica de gestion del riesgo Obligacién de rendir cuentas Integracién en los procesos de la organizacién Recursos ento de los mecanismos internos de comunicacién y de jiento de los mecanismos externos de comunicacién y de informacién Implementacién de Ia gestién del riesgo Implementacién del marco de trabajo de la gestién del riesgo Implementacién del proceso de gestién del riesgo Seguimiento y revisién del marco de trabajo Mejora continua del marco de trabajo PROCESO Generalidades Comunicacién y consulta Establecimiento del contexto Generalidades Establecimiento del contexto externo Establecimiento del contexto interno Establecimiento del contexto del proceso de gestion del riesgo ios de riesgo DOCUMENTO CONT? * No Fotocopiar sin autuis.ac u u u 12 12 1B 2B 14 14 14 15 15 15 16 16 16 17 17 18 18 19 2054 5.4.1 5.4.2 5.43 5.4.4 55 5.5.1 5.5.2 5.5.3 5.6 37 Apreciacién del riesgo Generalidades Identificacién del riesgo Anilisis del riesgo Evaluacién del riesgo ‘Tratamiento del riesgo Generalidades Seleccién de opciones de tratamiento del riesgo Preparacién e implementacién de los planes de tratamiento del riesgo Seguimiento y revision Registro del proceso de gestién del riesgo ANEXO A (Informativo) ATRIBUTOS DE UNA GESTION DEL. RIESGO OPTIMIZADA. BIBLIOGRAFIA DOCUMENTO CONTROLAD: No Fotocopiar sin autorizacic. 20 20 20 21 22 23 23 23 24 25 26 2 30PREFACIO Al La Comisién de Normalizacién y de Fiscalizacién de Barreras Comerciales No Arancelarias del INDECOPI, ha adoptado la ISO 31000:2009 Risk management -- Principles and guidelines, como Norma Técnica Peruana NTP-ISO 31000:2011 GESTION DEL RIESGO. Prineipios y directrices, 1° Edicidn, siguiendo el procedimiento de armonizacién de Normas Técnicas, oficializandose como Norma ‘Técnica Peruana NTP-ISO 31000:2011, el 14 de abril de 2011. AQ La NTP-ISO 31000:2011 es equivalente a la ISO 31000:2009 Risk management -- Principles and guidelines. La presente Norma Técnica Peruana presenta cambios editoriales referidos principalmente a terminologia empleada propia del idioma espafiol, asimismo, en los parrafos donde se cita ISO 31000:2009, se ha reemplazado por NTP-ISO 31000:201 |. Esta Norma Técnica Peruana ha sido estructurada de acuerdo a las Guias Peruanas GP 001:1995 y GP 002:1995. AS Se ha utilizado como antecedente la ISO 31000:2009 Risk management ~ Principles and guidelin DOCUMENTO cor™>*" "ne No Fotocopiar sin auwiizaviuis itiPROLOGO, ISO (Organizacién Internacional de Normalizacién) es una federacién mundial de organismos nacionales de normalizacién (organismos miembros de ISO). El trabajo de preparacién de las normas internacionales normalmente se realiza a través de los comités técnicos de ISO. Cada organismo miembro interesado en una materia para la cual se haya establecido un comité técnico, tiene el derecho de estar representado en dicho comité. Las organizaciones internacionales, publicas y privadas, en coordinacién con ISO, también participan en el trabajo. ISO colabora estrechamente con la Comisién Electrotécnica Internacional (IEC) en todas las materias de normalizacién electrotécni Las normas internacionales se redactan de acuerdo con las reglas establecidas en la Parte 2 de las Directivas ISO/IEC. La tarea principal de los comités técnicos es preparar normas internacionales. Los proyectos de normas internacionales adoptados por los comités técnicos se envian a los organismos miembros para votacién. La publicacién como norma internacional requiere la aprobacién de al menos el 75% de los organismos miembros que emiten voto. Cabe resaltar sobre la posibilidad de que algunos de los elementos de este documento puedan estar sujetos a derechos de patente. ISO no asume la responsabilidad por la identificacidn de cualquiera o todos los derechos de patente. La Norma ISO 31000 fue preparada por el grupo de trabajo del Consejo de Gestion Técnica de ISO (ISO/TMB) sobre gestién del riesgo. DOCUMENTO CONTROLADO No Fotocopiar sin autorizaciénINTRODUCCION Organizaciones de todos los tipos y tamafios se enfrentan a factores e influencias internas y externas que hacen incierto saber si y cuando conseguiran sus objetivos. La incidencia que esta incertidumbre tiene sobre la consecucién de los objetivos de una organizaci6n constituye el "riesgo". Todas las actividades de una organizacién implican riesgos. Las. organi gestionan el riesgo identificdndolo, analizéndolo y evaluando después si el riesgo se deberia modificar mediante un tratamiento que satisfaga sus criterios de riesgo. A lo largo de todo este proceso, las organizaciones comunican y consultan a las partes interesadas y realizan seguimiento y revisan el riesgo y los controles que lo modifican para asegurar que no es necesario un tratamiento adicional del riesgo. aciones Mientras todas las organizaciones gestionan el riesgo a diferentes niveles, esta Norma establece una serie de principios que se deben satisfacer para que la gestién del riesgo sea eficaz. Esta Norma recomienda que las organizaciones desarrollen, implementen y mejoren de manera continuada un marco de trabajo cuyo objetivo sea integrar el proceso de gestién del riesgo en los procesos de gobiemo, de estrategia y de ficacién, de gestidn, y de elaboracién de informes, asi como en las politicas, los s y en la cultura de toda la organizacién, La gestion del riesgo se puede aplicar a la totalidad de una organizacién, a todas sus reas y niveles principales, en todo momento, asi como a las funciones, los proyectos y las actividades especificas. Aunque la prictica de la gestién del riesgo se ha desarrollado a lo largo del tiempo y en numerosos sectores con objeto de satisfacer diversas necesidades, la adopcién de procesos coherentes dentro de un marco de trabajo exhaustive puede contribuir a asegurar que el riesgo se gestiona de una manera eficaz, eficiente y coherente en el seno de la organizacién. El enfoque genético que se describe en esta Norma proporciona los principios y las directrices para gestionar cualquier forma de riesgo de una manera sistemética, transparente y fiable, dentro de cualquier alcance y de cualquier contexto, Cada sector o aplicacién especificos de gestién del riesgo implica necesidades, audiencias, percepciones y criterios individuales. Por ello, uno de los puntos clave de esta Norma consiste en Ia inclusion del "establecimiento del contexto" como una actividad al comienzo de este proceso de gestién del riesgo genérico. El establecimiento del contexto permitiré captar los objetivos de la organizacién, el entorno en el que se persiguen estos objetivos, las partes interesadas y la diversidad de los criterios de riesgo. Todos estos elementos contribuirén a revelar y evaluar la naturaleza y complejidad de sus riesgos. DOCUMENTO CONTROLADG v No Fotocopiar sin autorizaciénLa figura 1 muestra las relaciones entre los principios para gestionar el riesgo, el marco de trabajo en el que se produce y el proceso de gestién del riesgo que se describe en esta Norma. La gestién del riesgo, cuando se implanta y mantiene de acuerdo con esta Norma, permite a una organizacién, por ejemplo: - aumentar la probabilidad de aleanzar los objetivos; - estimular una gestién proactiva; - ser consciente de la necesidad de identificar y tratar el riesgo en toda la organizacién; - mejorar la identificacién de oportunidades y de amenazas; - cumplir los requisitos legales y reglamentarios pertinentes y las normas internacionales mejorar la redaccién de informes obligatorios y voluntarios; - mejorar el gobierno; = mejorar la seguridad y la confianza de las partes interesadas; - establecer una base fiable para la toma de decisiones y la planificacién - mejorar los controles; asignar y utilizar de manera eficaz los recursos para el tratamiento del riesgo; - mejorar la eficacia y la eficiencia operacional; — _aumentar las prestaciones en materia de salud y seguridad, asi como la proteecién ambiental; = mejorar la prevencién de pérdidas y la gestién de incidentes; = minimizar las pérdida ~ mejorar el aprendizaje de la organizacién; y - mejorar la resiliencia de la organizacién Esta Norma esta prevista para satisfacer las necesidades de una gran diversidad de partes interesadas incluyendo: 8) _ as personas responsables de desarrollar la politica de gestién del riesgo dentro de su organizaciin; b) —_Tas personas encargadas de asegurar que el riesgo se gestiona de manera eficaz dentro de la organizacién, considerada en su totalidad o en un drea, un proyecto o una actividad especificos; ©) __las personas que necesitan evaluar Ia eficacia de una organizacién en materia de gestién del riesgo; y 4) las personas que desarrollan normas, guias, procedimientos y eédigos de buenas practicas que, en su totalidad o en parte, establecen cémo se debe tratar el riesgo dentro del contexto especifico de estos documentos. DOCUMENTO CONTROLADG . No Fotocopiar sin autorizaciénLas précticas y los procesos de gestién actuales de muchas organizaciones incluyen componentes de gestién del riesgo, y muchas organizaciones ya han adoptado un proceso formal de gestién del riesgo para tipos particulares de riesgos o de circunstancias. En tales casos, una organizacién puede decidir llevar a cabo una revisi6n critica de sus practicas y procesos existentes a la vista de esta Norma: En esta Norma, se utilizan las dos expresiones "gestion del riesgo" y "gestionar el riesgo". En términos generales, "gestion del riesgo" se refiere a la arquitectura (principios, marco de trabajo y proceso) para gestionar los riesgos de manera eficaz, mientras que "gestionar el riesgo" se refiere a la aplicacién de esta arquitectura a los riesgos particulares. DOCUMENTO CONTROL ADS vii No.Fotocopiar sin, autorizacidi(s o;mdes) ‘oss001g (g's) oBsau rap wuaweyery + (675) oBsau 19p sIsupUY ¥ Tre 501 op veoeoURUepL (rs) o8e4u 10p uotonioasdy| Tes) unison KewsiuinBes ies) orxoqu0e fap o1uajwioeiaersa| J (29) eunsuce f upjaeajuniues ( o1miaes) oferen 9p oosew (sv) ofeqes ‘oquonwinBos en fsa! wonse6 yop ofegea ap covew op oy2eia (zr) osoidiwoo Aoqepuew (c o1mideo) ‘sordiouud, Uoequebi0 21 9p stusuewiod ‘ojjousesap fa enuauos ‘rofou ey eANDES sojquueo so} © apuodsaz ‘Reagesoy "eanweug (F engedjonied Aowasedsueis sefeunyna & soueuny ‘se1ojoes $0} x84 (Y exdepe 26 (8 ‘staiuedsip uproewwosut sofour ej ue eseg 25 wuriodo K epearganase ‘eoneuiaiss (2 axquinpseout e1 eauoueroucce eeay (P 108 9p sossoosd sora ea19 (& FIGURA 1 ; Relaciones entre los principios, el marco de trabajo y el proceso de gestion del riesgo viii DOCUMENTO CONTROLADG No Fotocopiar sin autorizacionNORMA TECNICA NTP-ISO 31000 PERUANA. Ide 30 GESTION DEL RIESGO. Principios y directrices OBJETO Y CAMPO DE APLICACION Fsta Norma Técnica Peruana proporciona los principios y las directrices genéricas sobre la gestion del riesgo. Esta Norma Técnica Peruana puede utilizarse por cualquier empresa piblica, privada 0 social, asociacién, grupo o individuo. Por tanto, esta Norma Técnica Peruana no es especifica de una industria 0 sector concreto. NOTA: Por comodidad, todos los diferentes usuarios de esta Norma Técnica Peruana se citan con el término general de "organizacién". Esta Norma Técnica Peruana se puede aplicar a lo largo de toda la vida de una organizaci6n, y a una amplia gama de actividades, incluyendo estrategias y decisiones, operaciones, procesos, funciones, proyectos, productos, servicios y activos. Esta Norma Técnica Peruana se puede aplicar a cualquier tipo de riesgo, cualquiera que sea su naturaleza, y tanto si sus consecuencias son positivas 0 negativas. ‘Aunque esta Norma Técnica Peruana proporciona directrices genéricas, no tiene como objetivo promover la uniformidad en la gestiin del riesgo en el seno de las organizaciones. EI disefio y la implementacién de planes y marcos de trabajo de gestién del riesgo fades de una organizacién especifica, sus objetivos particulares, su contexto, su estructura, sus operaciones, sus procesos, sus funciones, sus proyectos, sus productos, sus servicios, o sus activos y précticas especificas utilizadas. Se pretende que esta Norma Técnica Peruana se utilice para armonizar los procesos de gestidn del riesgo establecidos en las normas existentes 0 futuras. Proporeiona un enfoque comin en el apoyo de las normas que tratan riesgos y/o sectores especificos, y no sustituye a dichas normas. Esta Norma Técnica Peruana no esti prevista para fines de certificacién, DOCUMENTO CONTROLAD: No Fotocopiar sin autorizaciénNORMA TECNICA NTP-ISO 31000 PERUANA, 2 de 30 2 TERMINOS Y DEFINICIONES Para los fines de este documento, se aplican los términos y definiciones siguientes: 2A riesgo: Efecto de la incertidumbre sobre la consecucién de los objetivos. NOTA 1: Un efecto es una desviacién, positiva y/o negativa, respecto a lo previsto. NOTA 2: Los objetivos pueden tener diferentes aspectos (tales como financieros, de salud y seguridad, o ambientales) y se pueden aplicar a diferentes niveles (tales como, nivel estratégico, nivel dun proyecto, de un producto, de un proceso o de una organizacién completa). NOTA 3: Con frecuencia, el riesgo se caraeteriza por referencia a sucesos poten consecuencias (2.18), 0 a una combinacién de aunbos. NOTA 4: Con frecuencia, el riesgo se expresa en términos de combinacién de las consecuencias de un ssuceso (ineluyendo [os eambios en las circunstancias) y de su probabilidad (2.19). NOTA 5: La incertidumbre es el estado, incluso parcial, de deficiencia en la informacién relativa a la ‘comprension o al conocimiento de un suceso, de sus consecuencias 0 de su probabilidad. les (2.17) y a sus {ISO Guia 73:2009, definicién 1.1] 2.2 gestion del riesgo: Actividades coordinadas para dirigir y controlar una organizacién en lo relativo al riesgo 2.1). [ISO Guia 73:2009, definicién 2.1] 23 marco de trabajo de la gestién del riesgo: Conjunto de elementos que proporcionan los fundamentos y las disposiciones de la organizacién para el disefio, la implantacién, el seguimiento (2.28), la revisién y la mejora continua de la gestiGn del riesgo (2.2) en toda la organizacién, NOTA I: Los fundamentos incluyen la politica, los objetivos, el mandato y el compromiso para gestiona o riesgo (2.1). NOTA 2: Las disposiciones de la organizacién incluyen los planes, las relaciones, la obligacién de rend cuentas, os recutsos, os procesos y las actividades NOTA 3: El marco de trabajo de la gestion del riesgo es parte integrante de as politicas y prcticas estratégicas y operacionales generales de la orgenizacion [ISO Guia 73:2009, definicién 2.1.1] 24 politica de gestion del riesgo: Declaracién de las intenciones y orientaciones generales de una organizacién en relacion con la gestion del riesgo (2.2). {ISO Guia 73:2009, definicién 2.1.2] DOCUMENTO CONTROLADO No Fotocopiar sin autorizacisnNORMA TECNICA NTP-ISO 31000 PERUANA. 3.de 30 25 actitud ante el riesgo: Enfoque de la organizacién para apre retenerlo, tomarlo o rechazarlo. un riesgo (2.1) y eventualmente buscarlo, [ISO Guta 73:2009, definicién 3. A] 26 plan de gestién del riesgo: Esquema incluido en el marco de trabajo de Ia gestion del riesgo (2.3) que especifica el enfoque, los componentes de gestién y los recursos a aplicar para la gestion del riesgo Q.). NOTA 1: Por lo general, los componentes de gestién incluyen los procedimientos, las pricticas, la asignacion de responsabilidades, la secuencia y la cronologta de las actividades. NOTA 2: El plan de gestién del riesgo se puede aplicar a un producto, un proceso 0 un proyecto particular, y a una parte oa la totalidad de la organizacién, [ISO Guia 73:2009, definicién 2.1.3] 27 duefio del riesgo: Persona o entidad que tiene la responsabilidad y autoridad para gestionar un riesgo (2.1). [ISO Guia 73:2009, definicién 3.5.1.5] 28 proceso de gestidn del riesgo: Aplicacién sistemética de politicas, procedimientos y pricticas de gestién a las actividades de comunicacién, consulta, establecimiento del contexto, e identificacién, andlis evaluacién, tratamiento, seguimiento (2.28) y revisién del riesgo (2.1). [ISO Guia 73:2009, definicién 3.1] 29 establecimiento del contexto: Definicién de los parmetros externos ¢ internos a tener en cuenta cuando se gestiona el riesgo, y se establecen el alcance y los eriterios de riesgo (2.22) para la politica de gestién del riesgo (2.4). [ISO Guia 73:2009, definicién 3.3.1] 2.10 contexto externo: Entormo externo en el que la organizacién busca aleanzar sus objetivos. NOTA: El entorno extern puede incluie: = el entorno cultural, social, politico, legal, reglamentario, financiero, tecnolégico, econémico, natural y competitivo, a nivel internacional, nacional, regional o local; ~ los factores y las tendencias que tengan impacto sobre los objetivos de la organizacién; y ~ las relaciones con las partes interesadas externas (2.13), us percepciones y sus valores. DOCUMENTO CONTROLADO No Fotocopiar sin autorizacionNORMA TECNICA, NTP-ISO 31000 PERUANA 4 de 30 Entorno interno en el que la organizacién busca alcanzar sus objetivos. NOTA: El contexto interno puede incluir: = el gobiemo, la estructura de la organizacién, las funciones y la obligacién de rendir cuentas; ~ las politicas, los objetivos y as estrategias que se establecen para conseguirlo; = las capacidades, entendidas en términos de recursos y conocimientos (por ejemplo, capital, tiempo, personas, procesos, sistemas y tecnologias); = los sistemas de informacién, los flujos de informacion y los procesos de toma de decisiones (tanto formales como informales); = Ias relaciones con, y Its percepciones y los valores de las partes interesadas internas = Iaccultura de la organizacién; ~ las normas, las directrices y los modelos adoptados por la organizacion; y Ia forma y amplitud de las relaciones contractual. [ISO Guia 73:2009, definicién 3.3.1.2] 212 comunicacién y consulta: Procesos iterativos y continuos que realiza una organizacién para proporcionar, compartir u obtener informacién y para establecer ef didlogo con las partes interesadas (2.13), en relaci6n con la gestién del riesgo (2.1), NOTA 1: La informacién puede corresponder a la existencia, la naturaleza, la forma, la probabilidad (2.19) la importancia, la evaluacién, la aceptabilidad y el tratamiento de Ia gestién del riesgo. NOTA 2: La consulta constituye un proceso de comunicacién informada de doble sentido entre una corganizacién y sus partes interesadas, sobre una cuestién antes de tomar una decisién o determinar una orientacién sobre dicha cuestién, La consulta es: un proceso que impacta sobre una decisién através de Ia influencia més que por la autoridad; y ‘una contribucién para una toma de decisién, y no una toma de decisién conjunta [ISO Guia 73:2009, definicién 3.2.1] 2.13 parte interesada: Persona u organizacién que puede afectar, ser afectada, o percibir que esté afectada por una decisién o actividad. NOTA: Una persona que toma decisiones puede ser una parte interesada, [ISO Gufa 73:2009, definicién 3.2.1.1] 214 apreciacién del riesgo: Proceso global que comprende la identificacién del riesgo (2.15), el andlisis del riesgo (2.21) y la evaluacién del riesgo (2.24). [ISO Gufa 73:2009, definici6n 3.4.1] DOCUMENTO CONTRC!.200 No Fotocopiar sin autorizaciénNORMA TECNICA. NTP-ISO 31000 PERUANA Sde 30 215 identificacién del riesgo: Proceso que comprende Ia biisqueda, el reconocimiento y la descripcién de los riesgos Qu). NOTA sucesos (2.17), sus causas y sus consecuencias potenciales (2.18). NOTA 2: La identificacién del riesgo puede implicar datos histéricos, andlisis tedricos, opiniones informades y de experos, asi como necesidades de Is partes interesadas (2.13) [ISO Guia 73:2009, definicion 3.5.1] 2.16 fuente de riesgo: Elemento que, por si solo o en combinacién con otros, presenta el potencial intrinseco de engendrar un riesgo (2.1). NOTA: Una fuente de riesgo puede ser tangible o intangible. [ISO Guia 73: 009, definicién 3.5.1.2] 247 suceso: Ocurrencia o cambio de un conjunto particular de circunstancias. NOTA 1: Un suceso puede ser iinico o repetise, y se puede deber a varias causas, NOTA 2: Un suceso puede consistir en algo que no se llega a producir. ‘NOTA 3: Algunas veces, un suceso se puede calificar como un “incidente" o un "aceidente”. NOTA 4: Un suceso sin conseeuencias (2.18) también se puede citar como "cuasi accidente” o "incidente” [ISO Gufa 73:2009, definicién 3.5.1.3] 2.18 consecuencia: Resultado de un suceso (2.17) que afecta a los objetivos. NOTA 1: Un suceso puede condueir a una serie de consecuencias NOTA sobre la consecucién de los objetives. NOTA 3: Las consecuencias se pueden expresar de forma cualitativa o cuantitativa, NOTA 4: Las consecuencias iniciales pueden convertirse en reacciones en cadena, [ISO Gufa 73:2009, definicién 3.6.1.3] 2.19 probabilidad (likehood): Posibilidad de que algin hecho se produzea. NOTA 1: En la terminologia de la gestién del riesgo, la palabra “probabilidad” se ut Ia p determinada objetiva 0 subjetivamente, cualitativa o cuantitativamente, y descri para tiempo dado). DOCUMENTO.CONTROLADO No Fotocopiar sin autorizacién La identificacion del riesgo implica la identificacién de las fuentes de riesgo (2.16), los Jna consecuencia puede ser cierta o incierta y puede tener efectos positives © negatives ilidad de que algin hecho se produzca, que esta posibilidad esti definida, medida o utilizando términos generales o de forma matemitica (tales como una probabilidad o una frecuencia sobre un periodo de— NORMA TECNICA NTP-ISO 31000 PERUANA, 6 de 30 NOTA 2: La palabra inglesa “likelihood” no tiene una equivalencia directa en algunos idiomas; en su lugar se utiliza con frecuencia la palabra "probability" (probabilidad). Sin embargo, en inglés la | palabra "probability" se interpreta frecuentemente de forma més limitada como un témino ‘matemitico, Por ello, en la terminologia de la gestién del riesgo la palabra "likelihood" se utiliza con la misma interpretacién amplia que tiene la palabra "probability" (probabilidad) en otros idiomas distintos del inglés. [ISO Guia 73:2009, definicién 3.6.1.1] 2.20 perfil del riesgo: Descripeisn de cualquier conjunto de riesgos (2.1). NOTA: El conjunto de riesgos puede inclur los riesgos relativos a toda Ia organizacién, a parte de la ‘organizacién, o definise de otra manera [ISO Guia 73:2009, definicién 3.8.2.5] 2.21 andlisis del riesgo: Proceso que permite comprender la naturaleza del riesgo (2.1) y detern riesgo (2.23). ar el nivel de NOTA 1: El andlisis del riesgo proporciona las bases para la evaluacién del riesgo (2.24) y para tomar las decisiones relativas al tratamiento del riesgo (2.25). NOTA 2: El analisis del riesgo incluye fa estimacién del riesgo. [ISO Guia 73:2009, definicién 3.6.1 2.22 criterios de riesgo: Términos de referencia respecto a los que se evalia la importancia de un riesgo (2.1), NOTA 1; Los ctiterios de riesgo se basan en los objetivos de la organizacion, y en el contexto externo (2.10) € interno (2.11). NOTA 2: Los criterios de riesgo se pueden obtener de normas, leyes, politicas y otros requisitos. [ISO Guia 73:2009, definici6n 3.3.1.3] 2.23 nivel de riesg Magnitud de un riesgo (2.1) 0 combinacién de riesgos, expresados en términos de la combinacién de las consecuencias (2.18) y de su probabilidad (2.19). [ISO Guia 73:2009, definici6n 3.6.1.8] DOCUMENTO Co®’ No Fotocopiar sin aiiw.iza.NORMA TECNICA NTP-ISO 31000 PERUANA de 30 2.24 evaluacién del riesgo: Proceso de comparacién de los resultados del analisis del riesgo (2.21) con los ecriterios de riesgo (2.22) para determinar si el riesgo (2.1) y/o su magnitud son aceptables 0 tolerables. NOTA: La evaluacién del riesgo ayuda a la toma de decisiones sobre el tratamiento del ri (2.25). [ISO Guia 73:2009, definicién 3.7.1] 2.28 tratamiento del riesgo: Proceso destinado a modificar el riesgo (2.1). NOTA 1: Bl tratamiento del riesgo puede implicar: evitar el riesgo, decidiendo no iniciar o continuar con la actividad que motiva el riesgo; = aceptar 0 aumentar el riesgo con objeto de buscar una oportunidad; ~ climinar Ia fuente de riesgo (2.16); cambiar la probabilidad (2.19); ~ cambiar las consecuencias (2.18); — compartir el riesgo con otra u otras partes (ineluyendo los contratos y la financiacién del riesgo); y = mantener el riesgo en base a una decisién informada. NOTA 2: Los tratamientos del riesgo que conducen a consecuencias negativas, en ocasiones se citan ‘como "mitigacién del riesgo", "eliminacién del riesgo", "prevencién del riesgo" y "reduccién del riesgo! NOTA 3: Bl tratamiento del riesgo puede originar nuevos riesgos o modificar los riesgos existentes. [ISO Gufa 73:2009, definicién 3.8.1] 2.26 control: Medida que modifica un riesgo (2.1). NOTA 1: Los controles incluyen euslquier proceso, politic, dispositive, prictica, w otras acciones que modifiquen un riesgo, NOTA 2: Los controles no siempre pueden proporcionar el efecto de modificacién previsto © asumido, [ISO Guia 73:2009, definici6n 3.8.1.1] 227 riesgo residual: Riesgo (2.1) remanente después del tratamiento del riesgo (2.25). NOTA 1: El riesgo residual puede contener tiesgos no identficados. ‘NOTA 2: El riesgo residual también se puede conocer como "riesgo retenida". [ISO Guia 73:2009, definicién 3.8.1.6] DOCUMENTO CONTROLADO No Fotocopiar sin autorizaciénNORMA TECNICA NTP-ISO 31000 PERUANA 8 de 30 2.28 seguimiento: Verificacién, supervision, observacién critica 0 determinacién del estado con objeto de identificar de una manera continua los cambios que se puedan producir en el nivel de desempefio requerido o previsto. NOTA: El seguimiento se puede aplicar a un marco de trabajo de la gestién del riesgo (2.3), a un proceso de gestién del riesgo (2.8), a un riesgo (2.1) 0 al control (2.26). [ISO Guia 73:2009, definicién 3.8.2.1] 2.29 revision: Actividad que se realiza para determinar la idoneidad, la adecuacién y Ia eficacia del tema estudiado para conseguir los objetivos establecidos. NOTA: La revisi6n se puede aplicar a un marco de trabajo de In gestién del riesgo (23), 2 un proceso de gestion del riesgo (2.8), aun riesgo (2.1) 0 al control (2.26) [ISO Guta 73:2009, definicién 3.8.2.2] 3. PRINCIPIOS Para que la gestién del riesgo sea eficaz, las organizaciones deberian cumplir en todos sus niveles los principios siguientes. a) _La gestidn del riesgo crea y protege el valor La gestion del riesgo contribuye de manera tangible al logro de los objetivos y a la mejora det desempefto, por ejemplo, en lo referente a la salud y seguridad de las personas, a la conformidad con los requisitos legales y reglamentos, a la aceptacién por el piblico, a la proteccidn ambiental, a la calidad del producto, a fa gestién del proyecto, a la cficacia en las operaciones, y a su gobierno y reputacién. b) La gestin del riesgo es una parte integral de todos los procesos de la organizacién La gestién del riesgo no es una actividad independiente separada de las actividades y procesos ipales de la organizacién. La gestién del riesgo es parte de las responsabilidades de gestign y una parte integral de todos los procesos de la organizacién, incluyendo la planificacién estratégica y todos los procesos de la gestion de proyectos y de cambios. ° La gestion del riesgo es parte de la toma de decisiones La gestién del riesgo ayuda a las personas que toman decisiones a realizar elecciones informadas, a definir las prioridades de las acciones y a distinguir entre planes de accion diferentes. DOCUMENTO CONTROLADO No Fotocopiar sin autorizacionNORMA TECNICA NTP-ISO 31000 PERUANA, 9 de 30 d) —_La gestion del riesgo trata explicitamente la incertidumbre La gestion del riesgo tiene en cuenta explicitamente la incertidumbre, la naturaleza de esa incertidumbre, y la manera en que se puede tratar. ©) _ La gestion del riesgo es sistematica, estructurada y oportuna Un enfoque sistematico, oportuno y estructurado de la gestién del riesgo contribuye a la eficacia y a resultados coherentes, comparables y fiables. ) La gestion del riesgo se basa en la mejor informacién disponible Los elementos de entrada del proceso de gestidn del riesgo se basan en fuentes de informacién tales como datos histéricos, experiencia, rettoalimentacién de las partes interesadas, observacién, previsiones y juicios de expertos. No obstante, las personas que toman decisiones deberfan informarse y tener en cuenta todas las limitaciones de los datos 0 modelos utilizados, asi como las posibles divergencias entre expertos. ) _La gestion del riesgo se adapta La gestidn del riesgo se alinea con el contexto externo e interno de la organizacién y con el perfil del riesgo. h) —_La gestin del riesgo integra los factores humanos y culturales La gestién del riesgo permite identificar las aptitudes, las percepciones y las intenciones de las personas externas ¢ internas que pueden facilitar u obstruir el logro de los objetivos de la organizacién. i) La gestiGn del riesgo es transparente y participativa La implicacién apropiada y oportuna de las partes interesadas y, en particular, de las personas que toman decisiones a todos los niveles de Ia organizacién, asegura que la gestion del riesgo se mantenga pertinente y actualizada. La implicacin también permite a las partes interesadas estar correctamente representadas y que sus opiniones se tengan en cuenta en la determinacién de los criterios de riesgo. i) La gestion del riesgo es dinamica, iterativa, y responde a los cambios La gestion del riesgo es sensible de manera continuada a los cambios y responde a ellos. Como se producen sucesos externos e internos, el contexto y los conocimientos cambian, se realiza el seguimiento y la revisién de riesgos, surgen nuevos riesgos, algunos cambian y otros desaparecen. k) _Lagesti6n det riesgo facilita la mejora continua de la organizacin Las organizaciones deberian desarrollar € implementar estrategias para mejorar su madurez.en la gestién del riesgo en todos los demas aspectos de la organizacién El anexo A proporciona informacién adicional para las organizaciones que deseen gestionar el riesgo de manera més eficaz. DOCUMENTO CONTROLADO No Fotocopiar sin autorizaciénNORMA TECNICA, NTP-ISO 31000 PERUANA. 10 de 30 4 MARCO DE TRABAJO 4 Generalidades El éxito de la gestion del riesgo dependeré de la eficacia del marco de trabajo de gestion que proporcione las bases y las disposiciones que permitirin su integracién a todos los niveles de la organizacién. El marco de trabajo facilita una gestién eficaz. del riesgo mediante la aplicaciGn del proceso de gestién del riesgo (véase el capitulo 5) a diferentes niveles y dentro de contextos especificos de la organizacién. El marco de trabajo garantiza que la informacién sobre el riesgo obtenida de este proceso de gestién del riesgo se comunica y utiliza adecuadamente como una base para la toma de decisiones y la obligacién de rendir cuentas en todos los niveles pertinentes de la organizacién. Este capitulo describe los componentes necesarios del marco de trabajo para la gestién del riesgo y la forma en que estos componentes se interrelacionan de una manera iterativa, como muestra la figura 2 Mandato y compromiso (4.2) Ais Digaio del marco de trabajo de la gestion del riesgo (4.3) CComprension de a organizacién y de su conteto (4.3.1) Establecimiano dela potica de gestn del seago (4.3.2) COblgacén de endir cuentas (43:3) Inteptacén ens procesos dee organizacién (4.3.4) Recursos (4.35) Estableciiono de los mecanismosIntemos de comunicacin y de Informacion (4.38) Establecimiento de los mecanismos exteres de comunlcacién y de Informacion (4.3.7) Implomentacon del procoso de gealon del resgo (4.4) Limplementacion del marco de trabajo de la gestén del riesgo (4.4.1) Implementacton del proceso de gestion del esgo (4.4.2) Mejora continua’ marco de abajo ‘Seguimiento y revision del marco de trabajo (4.5) FIGURA 2 ~ Relaciones entre los componentes del marco de trabajo de la gestién del riesgo DOCUMENTO CONTROL/A.DG No Fotocopiar sin autorizaci¢nNORMA TECNICA NTP-ISO 31000 PERUANA 11 de30 Este marco de trabajo no esta destinado para prescribir un sistema de gestién, sino mas bien para ayudar a la organizaci6n a integrar la gestién del riesgo en sus sistema de gestion global. Por ello, las organizaciones deberfan adaptar los componentes del marco de trabajo a sus necesidades especificas. Si las pricticas y procesos de gestién existentes en una organizacién incluyen componentes de gestion del riesgo, o si la organizacién ya ha adoptado un proceso formalizado de gestion del riesgo para tipos particulares de riesgo o de situaciones de riesgo, entonces estos tipos se deberfan revisar y evaluar de forma critica de acuerdo con esta Norma Técnica Peruana, incluyendo los atributos contenidos en el Anexo A, a fin de determinar si han sido adecuados, asi como su eficacia, 42 Mandato y compromiso La introduccién de la gestién del riesgo y el aseguramiento de su eficacia continua requieren un compromiso fuerte y sostenido de la direccién de la organizacién, ast como el establecimiento de una planificacién estratégica y rigurosa para conseguir el compromiso en todos los niveles. La gestién deberia: = definir y aprobar la politica de gestién del riesgo: = asegurar que la cultura de la organizacién y la politica de gestién del riesgo estén alineadas; = determinar los indicadores de desempefto de la gestion del riesgo que son coherentes con los indicadores de desempetio de la organizacién; ~ alinear los objetivos de la gestién del riesgo con los objetivos y estrategias de la organizacién; = asegurar ec! cumplimiento legal y reglamentario; ~ asignar la obligacién de rendir cuentas y las responsabilidades que corresponden a los diferentes niveles de la organizacién; = asegurar que la gestion del riesgo tiene asignados los recursos necesarios; ~ comunicar los beneficios de la gestién del riesgo a todas las partes interesadas; y = asegurar que el marco de trabajo para gestionar el riesgo contintia siendo adecuado. 43 Diseiio del marco de trabajo de la gestién del riesgo 431 Comprensién de la organizacién y de su contexto ‘Antes de iniciar el disefo y la implementacién del marco de trabajo de la gestion del riesgo, es importante evaluar y entender el contexto externo y el contexto interno de la organizacién, dado que ambos pueden influir significativamente en el disefio del marco de trabajo, DOCUMENTO CONTROLADY No Fotocopiar sin autorizaciénNORMA TECNICA, NTP-ISO 31000 PERUANA 12 de 30 La evaluacién del contexto externo de la organizacién puede incluir, aunque sin limitarse a elk a) el entorno social y cultural, politico, legal, reglamentario, financiero, tecnolégico, ‘econémico, natural y competitivo, a nivel internacional, nacional, regional o local: b) los factores y las tendencias que tienen impacto sobre los objetivos de la ‘organizacion: y c) las relaciones con las partes interesadas, sus percepciones y sus valores. La evaluaci6n del contexto interno de la organizacién puede incl ello: r, aunque sin limitarse a el gobierno, ta estructura de la organi cuentas; — las politicas, los objetivos y las estrategias que se establecen para conseguirlo; = las aptitudes, entendidas en términos de recursos y conocimientos (por ejemplo, |, tiempo, personas, procesos, sistemas y tecnologias); — los sistemas de informacién, los flujos de informacién y los procesos de toma de decisiones (tanto formales como informales); las relaciones con las partes interesadas, sus percepciones y sus valores; = la cultura de la organizacién; = las normas, las directrices y los modelos adoptados por la organizacion; y = Ia forma y profundidad de las relaciones contractuales. dn, las funciones y la obligacién de rendir 43.2 Establecimiento de la politica de gestién del riesgo La politica de gestidn del riesgo deberia indicar claramente los objetivos y el compromiso de la organizacién en materia de la gestién del riesgo, y abordar normalmente lo siguiente: — las razones de la organizacién en materia de gestién del riesgo; ~ las relaciones entre los objetivos y las politicas de la organizacién y {a politica de 180 n de rendir cuentas y las responsabilidades en materia de gestién del = la manera en la que se tratan los intereses que entran en conflicto; = el compromiso para tener disponibles los recursos necesarios para facilitar ta obligacién de rendir cuentas y las responsabilidades para gestionar el riesgo; = la manera en la que se mide e informa sobre el desempeiio de la gestidn del riesgo, y ~ el compromiso para revisar y mejorar la politica de gestién del riesgo y el marco de trabajo, periddicamente y como respuesta a un suceso o a un cambio de las circunstanei La politica de gestién del riesgo se deberia comu DOCUMENTO CONTROLADO No Fotocopiar sin autorizacién sar de manera apropiada,NORMA TECNICA, NTP-ISO 31000 PERUANA. 13 de 30 433 La organizacién deberia asegurarse de que estin establecidas la obligacién de rendir cuentas, la autoridad y las competencias apropiadas para gestionar el riesgo, incluyendo la implementacién y ei mantenimiento det proceso de gestién del ricsgo y asegurar la idoneidad, la eficacia y la eficiencia de todos los controles. Esto se puede facilitar mediante: ~ la identificacién de los duefios del riesgo que tienen la responsabilidad y autoridad para gestionar los riesgos; ~ la identificacién de quiénes tienen obligacién de rendir cuentas del desempefio, la implementacién, y el mantenimiento del marco de trabajo para la gestién del riesgo; ~ la identificacién de otras responsabilidades de las personas, a todos los niveles en la organizacisn, para el proceso de gestién del riesgo; — el establecimiento de los procesos de medicién del desempefto y de informacion externa y/o interna, asi como los procesos de transmisién a un nivel superior; y — el establecimiento de niveles de reconocimiento adecuados. 434 Integracién en los procesos de Ia organizacion La gestién del riesgo deberia estar integrada en todas las préeticas y procesos de Ia organizacién, de una manera que sea relevante, eficaz y eficiente. El proceso de gestién del riesgo deberia formar parte de los procesos de la organizacién, y no ser independiente de ellos. En particular, la gestién del riesgo deberfa estar integrada en el desarrollo de la politica, en la planificacién y revisién de la actividad y ta estrategia, y en los procesos de gestién de cambios. Deberia existir un plan de gestién del riesgo que abarque a toda la organizacién, para garantizar que se implementa la politica de gestién del riesgo y que se integra en todas las précticas y procesos de la organizacién. El plan de gestién dei riesgo se puede integrar en otros planes de la organizacién, como un plan estratégico. 435 Recursos La organizacién deberia proporcionar los recursos adecuiados para la gestiGn del riesgo. Se deberia tener en consideracién lo siguiente: ~ las personas, las habilidades, la experiencia y las competencias; — los recursos necesarios para cada etapa del proceso de gestién del riesgo: - los procesos de la organizacién, los métodos y las herramientas a utilizar para gestionar el riesgo; ~ los procesos y procedimientos documentados; ~ los sistemas de gestién de la informacién y del conocimiento; y DOCUMENTO CONTROLADO No Fotocopiar sin autorizacionNORMA TECNICA, NTP-ISO 31000 PERUANA, 14 de 30 = los programas de formacién. 43.6 Establecimiento de los mecan informacion mos internos de comunicacién y de La organizacién deberia establecer mecanismos internos de comunicacién y de informaci6n con objeto de apoyar y fomentar la obligacién de rendir cuentas y la propiedad del riesgo. Estos mecanismos deberian garantizar: = la comunicacién adecuada de los componentes clave del marco de trabajo de la gestién del riesgo, asi como de todas las modificaciones posteriores; = Ia existencia de informes internos adecuados sobre el marco de trabajo, su eficacia | y sus resultados; } = ta disponibilidad de informacién apropiada obtenida de la aplicacién de la gestign ! del riesgo en los niveles y tiempos apropiados; y = la existencia de procesos para realizar consultas con las partes interesadas. Cuando corresponda, estos mecanismos deberfan incluir procesos para consolidar la informacién relativa al riesgo procedente de fuentes diferentes, y puede ser necesario considerar la sensibilidad de la informacién. 43.7 informacion stablecimiento de los mecanismos externos de comunicacién y de La organizaci6n deberia desarrollar ¢ implementar un plan para comunicarse con las partes interesadas extemas, Este plan deberfa implicar: — la participacién de las partes intercambio eficaz de informacién; ~ el establecimiento de informes externos conformes con los requisitos legales, reglamentarios y de gobierno de la organizacién; = la disponibilidad de retroalimentacién y de informes sobre comunicacién y consulta; = la utilizacién de comunicaciones para generar confianza en la organizacion; y — Ia comunicacion con las partes interesadas en caso de crisis o contingencias, eresadas externas apropiadas, asegurandose un Cuando corresponda, estos mecanismos deberfan incluir procesos para consolidar la informacién relativa al riesgo procedente de fuentes diferentes, y puede ser necesario considerar la sensibilidad de la informacién, DOCUMENTO CONTROLADO No Fotocopiar sin autorizacionNORMA TE NTP-ISO 31000 PERUANA 15 de 30 44 Implementacién de la gestién del riesgo 44.1 Implementacién del marco de trabajo de la gestion del riesgo Para la implementacién del marco de trabajo de la ge deberia: stién del riesgo, la organiza ~ definir el calendario y la estrategia apropiados para la implementacién del marco de trabajo; ~ aplicar la politica y el proceso de gestién del riesgo a los procesos de la organizacién; ~ cumplir los requisitos legales y reglamentarios; — garantizar que la toma de decisiones, incluyendo el desarrollo y el establecimiento de los objetivos, se alinean con los resultados de los procesos de gestién del riesgo; — organizar sesiones de informacién y de formacién; y — comunicar y consultar a las partes interesadas para garantizar que su marco de trabajo de la gestién del riesgo continua siendo apropiado. 44.2 Implementaci6n del proceso de gestién del riesgo La gestién del riesgo se deberia implementar de manera que se asegure que el proceso de gestién del riesgo, descrito en el capitulo 5 se aplica mediante un plan de gestion del riesgo en todos los niveles y funciones pertinentes de la organizacién, como parte de sus practicas y process. 45 Seguimiento y revisién del marco de trabajo Con objeto de asegurar que la gestién del riesgo es eficaz y contribuye a ayudar al desempefto de la organizacién, ésta deberfa: — medir el desempefto de la gestién del riesgo respecto a los indicadores, que se revisan periédicamente en cuanto a su idoneidad; — medir periddicamente el progreso y las desviaciones respecto al plan de gestién del riesgo; — revisar periédicamente si el marco de trabajo, la politica y el plan de gestién del riesgo siguen siendo apropiados, a la vista del contexto interno y externo de la organizacién; — establecer informes sobre los riesgos, sobre el progreso del plan de gestién del riesgo y sobre la forma en que se esté siguiendo la politica de gestin del riesgo; y ~revisar la eficacia del marco de trabajo de la gestién del riesgo. DOCUMENTO CONTROLADO No Fotocopiar sin autorizacionNORMA TECNICA NTP-ISO 31000 PERUANA 16 de 30 46 Mejora continua del marco de trabajo En base a los resultados obtenidos del seguimiento y de las revisiones, se deberian tomar decisiones sobre cémo mejorar el marco de trabajo, la politica y el plan de gestién del riesgo. Estas decisiones deberian conducir a mejoras en la gestiOn del riesgo por parte de la organizaci6n, asi como a mejoras de su cultura de gestién del riesgo. 5. PROCESO SA Generalidades El proceso de gestién del riesgo deberfa: ~ ser una parte integrante de la gestién; — integrarse en la cultura y en las practicas; y — adaptarse a los procesos de negocio de la organizacién. El proceso de gestién del riesgo comprende las actividades descritas en los apartados 5.2 al 5.6. La figura 3 muestra el proceso de gestién del riesgo. DOCUM CUTS hom EA AND No Fotocopiar sin auiunizacionNORMA TECNICA NTP-ISO 31000 PERUANA, 17 de 30 |] Establecimiento del contexto (5.3) }— ‘Apreoiacivn dbl riesgo (6.4) Ho Identificacién det riesgo (6.4.2) fe] Comunicacién ‘Seguimiento y conzutta t4 ‘Analisis dt riesgo (6.4.3) 1} revision 62) E -—— (66) || Evaluacién del iesgo (5.4.4) be —+| Tratamiento del riesgo (5.5) bo FIGURA 3 - Proceso de gestién del riesgo 52 Comunicacién y consulta Las comunicaciones y las consultas con las partes interesadas externas ¢ deberfan realizar en todas las etapas del proceso de gestion del riesgo. Por ello, en una de las primeras etapas se deberian desarrollar los planes de comunicacién y consulta, Estos planes deberfan tratar temas relativos al riesgo en si mismo, a sus causas, @ sus consecuencias (si se conocen), y a las medidas a tomar para tratarlo. Se deberian realizar comunicaciones y consultas externas e internas eficaces para asegurarse de que las personas responsables de la implementacién del proceso de gestién del riesgo y las partes interesadas comprenden las bases que han servido para tomar decisiones y las tazones por las que son necesarias determinadas acciones. Un enfoque consuttivo en equipo puede: ~ ayudar a establecer adecuadamente el contexto; — asegurar que los intereses de las partes interesadas se comprenden y se tienen en consideracién; DOCUMENTO CONTROLADO No Fotocopiar sin autorizacionNORMA TECNICA NTP-ISO 31000 PERUANA. 18 de 30 ~ ayudar a asegurar que los riesgos se identifican adecuadamentes — reunir diferentes areas de experiencia para analizar los riesgos; — asegurar que las diferentes opiniones se tienen en cuenta de forma adecuada, al definir los criterios de riesgo y en la evaluacién de los riesgos; = conseguir la aprobacién y el apoyo para un plan de tratamiento; ~ favorecer una gestién de cambio adecuada durante el proceso de gestién del riesgo; ~ desarrollar un plan adecuado de comunicacién y consultas externas ¢ internas. Las comunicaciones y consultas con las partes interesadas son importantes ya que éstas pueden emitir juicios sobre el riego basados en sus percepciones de riesgo, Estas percepciones pueden variar debido a diferencias en los valores, las necesidades, las hipétesis, los conceptos y las inquietudes de las partes interesadas. Como sus opiniones pueden tener un impacto importante en las decisiones tomadas, las percepciones de las partes interesadas se deberian identificar, registrar y tomar en consideracién en el proceso, de toma de decisiones. Las comunicaciones y consultas deberian facilitar intercambios de informacion que sean veraces, pertinentes, exactos y entendibles, teniendo en cuenta los aspectos confidenciales y de integridad personal. 53 Establecimiento del contexto 534 Generalidades Mediante el establecimiento del contexto, la organizacién articula sus objetivos, define los parimetros extemos ¢ internos a tener en cuenta en la gestién del riesgo, y establece el aleance y los criterios de riesgo para cl proceso restante, Aunque muchos de estos pardmetros son similares a los considerados en el disefio del marco de trabajo de Ia gestion del riesgo (véase 4.3.1), cuando se establece el contexto para el proceso de gestion del riesgo tales pardmetros se deben considerar en mayor detalle, y en particular cémo estén relacionados con el alcance del proceso particular de gestion del rie: 53.2 Fstablecimiento del contexto externo El contexto externo es el entorno externo en que la organizacién busca conseguir sus objetivos. La comprensién del contexto extemno es importante para asegurarse de que los objetivos € inquietudes de las partes interesadas externas se tienen en cuenta cuando se desarrollan los . El contexto extemo se basa en el contexto a eseala de la organizacién, pero con detalles especificos de requisitos legales y reglamentarios, con las percepeiones Ue las partes interesadas y con otros aspectos de riesgos espectficos del aleance del proceso de gestién del riesgo. DOCUMENTO CONTROLABO No Fotocopiar sin autorizacior:NORMA TECNICA, NTP-ISO 31000 PERUANA 19 de 30 El contexto externo puede incluir, pero no se limita a: = el entorno social y cultural, politico, legal, reglamentario, financiero, tecnolégico, econémico, natural y competitivo, a nivel internacional, nacional, regional o local; = Ios factores y las tendencias clave que tengan impacto en los objetivos de la organizaci6n; y ~ las relaciones con las partes iteresadas externas, sus percepciones y sus valores. 5.3.3 Establecimiento del contexto interno El contexto interno es el entorno interno en que la organizacién busca conseguir sus objetivos. El proceso de gestidn del riesgo deberfa alinearse con la cultura, los procesos, la estructura y la estrategia de la organizacién. El contexto interno lo constituye todo aquello que en el seno de la organizacién puede influir en la manera en la que una organizacién gestionaré el riesgo. Este contexto se deberia establecer, ya que: a) la gestién del riesgo se realiza en el contexto de los objetivos de la organizacién; b) los objetivos y los criterios de un proyecto, de un proceso o de una actividad especificos se deberian considerar a la vista de los objetivos de la organizacién en su Conjunto; y ©) algunas organizaciones no reconocen todas las oportunidades que les permiten conseguir sus objetivos en materia de estrategia, de proyecto 0 de negocio, y esto afecta a la continuidad del compromiso, la credibilidad, la confianza y los valores de la organizacién. Es necesario comprender el contexto interno, Puede incluir, pero no se limita a: ~ el gobierno, la estructura de la organizacién, las funciones y las responsabilidades; ~ las politicas, los objetivos y las estrategias que se establecen para conseguirlos; = las aptitudes, entendidas en términos de recursos y conocimientos (por ejemplo, capital, tiempo, personas, procesos, sistemas y tecnologias); = la relaciones con las partes internas interesadas, sus percepciones y sus valores; la cultura de la organizacién; ~ Ios sistemas de informacién, los flujos de informacién y los procé decisiones (tanto formales como informales); = las normas, las directrices y los modelos adoptados por la organizacién; y ~ la forma y extensién de las relaciones contractuales. DOCUMENTO CONTROLADO No Fotocopiar sin autorizacién ssos de toma deNORMA TECNICA NTP-ISO 31000 PERUANA 20 de 30 53.4 Establecimiento del contexto del proceso de gestién del riesgo Se deberian establecer los objetivos, las estrategias, el aleance y los parimetros de las actividades de la organizacién, o de aquellas partes de la orga n donde se aplica el proceso de gestién del riesgo. La gestién del riesgo se deberia emprender teniendo en cuenta todo lo necesario para justificar los recursos que se han de utilizar para Hevarla a cabo. También se deberfan especificar fos recursos requeridos, las responsabilidades y autoridades, y los registros que se deben conservar. El contexto del proceso de la gestion det riesgo variaré de acuerdo con las necesidades de Ja organizacién. Puede implicar, pero no se limita a: ~ la definicién de las metas y objetivos de las actividades de gestién del riesgo; ~ la definicién de las responsabilidades relativas al proceso de gestién del riesgo; la definicién del alcance, asi como el grado y la amplitud de las actividades de gestién del riesgo a realizar, incluyendo las inclusiones y exclusiones espec = la definicién de la actividad, del proceso, de la funcién, del proyecto, del producto, del servicio o del activo, en términos de tiempo y de ubicacién; nde las relaciones entre un proyecto, un proceso 0 una activ particulares y otros proyectos, procesos © actividades de la organizacién; ~ la definicién de las metodologias de apreciacién del riesgo; = la definicién del método para evaluar el desempefo y la eficacia en Ia gestién del riesgo; = la identificacién y la especificacién de las decisiones a tomar; y = la identificacién, el alcance o el marco de los estudios requeridos, su amplitud y sus objetivos, asi como los recursos necesarios para tales estudios. Se deberian tener en cuenta estos y otros factores pertinentes para asegurar que el enfoque adoptado de la gestién del riesgo es apropiado a las circunstancias, a la organizacién y a los riesgos que afectan al logro de sus objetivos, 533. Defi n de los criterios de riesgo La organizacién deberia definir los criterios que se aplican para evaluar la importancia del riesgo. Los criterios deberian reflejar los valores, los objetivos y los recursos de la organizacién. Algunos criterios pueden estar impuestos o derivarse de requisitos legales o reglamentarios, 0 de otros requisitos suscritos por la organizacién. Los criterios de riesgo deberian ser coherentes con la politica de gestion del riesgo de la organizacin (véase 43.2), definirse al comienzo de cualquier proceso de gestién del riesgo, y revisarse continuamente, DOCUMENTO CONTPOE DN No Fotocopiar sin autorizacionNORMA TECNICA NTP-ISO 31000 PERUANA 21 de30 Al definir los eriterios de riesgo, se deberian considerar una serie de factores entre los cuales se incluyen los siguientes: — la naturaleza y los tipos de las causas y de Jas consecuencias que se pueden producir, y cémo se deben medir; ~ el método de definicién de la probabilidad; = los plazos de la probabilidad y/o de las consecuencias; ~el método para determinar el nivel de riesgo; ~ las opiniones de las partes interesadas; ~ el nivel al que el riesgo comienza a ser aceptable o tolerable; y ~ si se deberian tener en cuenta combinaciones de riesgos miltiples y, en caso afirmativo, e6mo y qué combinaciones se deberfan considerar. 54 Apreciacién del riesgo 5.4.1 Generalidades La apreciacién del riesgo es el proceso global de idei del riesgo. icacin, de andlisis y de evaluacién NOTA: La Norma ISO/IEC 31010 proporciona directrices sobre las éenicas de apreciacién del riesgo. 5.4.2 Identificaci6n del riesgo La organizacién deberia identificar los origenes de riesgo, las éreas de impactos, los sucesos (incluyendo los cambios de circunstancias), asi como sus causas y sus consecuencias potenciales. El objetivo de esta etapa consiste en generar una lista de riesgos exhaustiva basada en aquellos sucesos que podrian crear, mejorar, prevenir, degradar, acelerar o retrasar el logro de los objetivos. Es importante identificar los riesgos asociados al hecho de no buscar una oportunidad. Es esencial realizar una identificacién exhaustiva, ya que un riesgo que no se identifica en esta etapa no se incluird en analisis posteriores. La identificacién deberia incluir los riesgos, tanto si su origen esté o no bajo el control de la organizacién, incluso aunque el otigen o la causa del riesgo no pueda ser evidente. La identificacién del riesgo deberia incluir ef examen de los efectos en cadena de consecuencias particulares, incluyendo los efectos en cascada o acumulativos. También deberia considerar un amplio rango de consecuencias, incluso aunque el otigen o la causa del riesgo no puedan ser evidentes, Ademés de identificar lo que podria ocurrir, es necesario considerar las posibles causas y escenarios que muestran las consecuencias que se pueden producir. Todas las causas y consecuencias significativas se deberian tener en consideracion. DOCUMENTO CONTROLADO No Fotocopiar sin autorizacionNORMA TECNICA NTP-ISO 31000 PERUANA. 22 de 30 La organizaci6n deberia aplicar herramientas y técnicas de identificacién del riesgo que se adapten a sus objetivos y aptitudes, asi como a los riesgos a los que esta expuesta. Para la identificacién de los riesgos es esencial disponer de informacion pertinente y actualizada. Siempre que sea posible, esta informacién deberfa ir acompafiada de antecedentes apropiados. En ta identificacién de los riesgos deberfan intervenir personas con conoeimientos apropiados. 5.4.3 Anilisis del riesgo El andlisis del riesgo implica desarrollar una comprensi6n del riesgo. El andlisis del riesgo proporciona elementos de entrada para la evaluacién del riesgo y para tomar decisiones acerca de si es necesario tratar los riesgos, ast como sobre las estrategias y los métodos de tratamiento del riesgo més apropiados. El andlisis del riesgo también puede proporcionar elementos de entrada para tomar decisiones cuando se deben hacer elecciones, y las opciones implican diferentes tipos de niveles de riesgo. El analisis del riesgo implica la consideracién de las causas y las fuentes del riesgo, sus consecuencias positivas y negativas, y a probabilidad de que estas consecuencias puedan car los factores que afectan a las consecuencias y a la probabilidad. Bl riesgo se analiza determinando las consecuencias y su probabilidad, asi como otros atributos det ri eso puede tener miiltiples consecuencias y puede afectar a multiples objetivos. 1 asi como su eficacia y su eficiencia, La forma de expresar las consecuencias y la probabilidad, asi como la manera en que é se combinan para determinar un nivel de riesgo, deberfa corresponder al tipo de riesgo, a la informacién disponible y al objetivo para el que se utiliza el resultado de la apreciacién del riesgo, Todos estos datos deberian ser coherentes con Jos criterios de riesgo. También es importante considerar la interdependencia de los diferentes riesgos y de sus fuentes. La confianza en la determinacién del nivel de riesgo y su sensibilidad a las condiciones previas y a las hipdtesis se deberia considerar en el andlisis y comunicar de manera eficaz. a las personas que han de tomar decisiones y, cuando corresponda, a otras partes interesadas, Factores tales como las diferencias de opinién entre expertos, la incertidumbre, la disponibilidad, la calidad, la cantidad y la validez de la pertinencia de la inform: 1, 0 las limitaciones respecto a modelos establecidos se deberian indicar y pueden resaltarse. El andlisis del riesgo se puede realizar con diferentes grados de detalle, dependiendo del riesgo, de la finalidad del andlisis y de la informacién, ast como de los datos y los recursos disponibles. El andlisis puede ser cualitativo, semi-cuantitativo o cuantitativo, o una combinacién de los tres easos, dependiendo de las cireunstancias. DOCUMENTO CONTROLADO No Fotocopiar sin autorizaciénNORMA TECNICA, NTP-ISO 31000 PERUANA, 23 de 30 Las consecuencias y sti probabilidad se pueden determinar realizando el modelo de los resultados de un suceso o conjunto de sucesos, 0 por extrapolacién de estudios experimentales 0 de datos disponibles. Las consecuencias se pueden expresar en términos. de impactos tangibles o intangibles. Fn algunos casos, se require més de un valor numérico o descriptor para especificar las consecuencias y su probabilidad para diferentes momentos, lugares, grupos o situaciones. 544 Evaluacién del riesgo En base a los resultados del andlisis del riesgo la finalidad de la evaluacién del riesgo es ayudar a la toma de decisiones, determinando los riesgos a tratar y la prioridad para implementar el tratamiento. La evaluacién del riesgo implica comparar el nivel de riesgo encontrado durante el proceso de anilisis con los criterios de riesgo establecidos cuando se considers el contexto. En base esta comparacién, se puede considerar la necesidad del tratamiento. Para las decisiones se deberia tener en cuenta el contexto mas amplio del riesgo e incluir la consideracién de la tolerancia del riesgo por otras partes diferentes de la organizacién, que se benefician del riesgo. Las decisiones se deberian tomar de acuerdo con requisitos legales, reglamentarios y requisitos de otro tipo. En algunas circunstancias, la evaluacién del riesgo puede levar a la decisin de realizar un anitisis en mayor profundidad. La evaluacién del riesgo también puede Hevar a la dec ninguna otra manera que mante influenciada por la actitud ante el riesgo que se hayan establecido. mn de no tratar el riesgo de endo los controles existentes. Esta decision estara sgo por parte de la organizacién y por los criterios de 55 ‘Tratamiento del riesgo 581 Generalidades El tratamiento del riesgo implica la seleccién y la implementacién de una o varias opciones para modificar los riesgos. Una vez controles. ada la implementacién, los tratamientos proporcionan © modifican los El tratamiento del riesgo supone un proceso ciclico de: ~ evaluar un tratamiento del riesgo; DOCUMENTO CONTROLADO No Fotocopiar sin autorizacionNORMA TECNICA, NTP-ISO 31000 PERUANA 24 de 30 — decidir si los niveles de riesgo residual son tolerables; = sino son tolerables, generar un nuevo tratamiento del riesgo; y ~ evaluar la eficacia de este tratamiento. Las opciones de tratamiento del riesgo no se excluyen necesariamente unas a otras, ni son apropiadas en todas las circunstancias. Las opciones pueden incluir lo siguiente: a) evitar el riesgo decidiendo no iniciar o continuar con la actividad que causa el riesgo; ») aceptar o aumentar el riesgo a fin de perseguir una oportunidad; ) eliminar la fuente del riesgo; d) modificar la probabilidad; ) modificar las consecuencias; £) compartir el riesgo con otras partes (incluyendo los contratos y la financiacién del iesgo): ¥ 2) retener el riesgo en base a una decisién informada. 5, 2 Seleccidn de opciones de tratamiento del riesgo La seleccién de la opeién més apropiada de tratamiento del riesgo implica obtener una compensacién de los costes y los esfuerzos de implementacién en funcién de las ventajas que se obtengan, teniendo en cuenta los requisitos legales, reglamentarios y de otro tipo, tales como fa responsabilidad social y la proteccién del entorno natural. Las decisiones también se deberfan tomar teniendo en cuenta los riesgos cuyo tratamiento no es justificable en el plano econdmico, por ejemplo, riesgos severos (consecuencias altamente negativas) pero raros (baja probabilidad). Un determinado nimero de opciones de tratamiento se puede considerar y aplicar bien individualmente o bien en combinacién. Normalmente, la organizacién puede beneficiarse de la adopcién de una combinacién de opciones de tratamiento. Al seleccionar opciones de tratamiento del riesgo, fa organizacién deberia tener en consideracién los valores y las percepciones de las partes interesadas y los medios mas apropiados para comunicarse con ellas. Cuando las opciones de tratamiento del riesgo puedan impactar sobre el riesgo en cualquier otra parte de la organizacién o en las partes interesadas, éstas se deberian involucrar en la decisién. A igual eficacia, algunos tratamientos del riesgo pueden ser més aceptables que otros para algunas partes interesadas. DOCUMENTO CONTROLADO No Fotocopiar sin autorizacionNORMA TECNICA NTP-ISO 31000 PERUANA, 25 de 30 EI plan de tratamiento deberia identificar con claridad el orden de prioridad en que se deberian implementar los tratamientos de riesgo individuales. El tratamiento del riesgo a su vez puede introducir nuevos riesgos. El fallo 0 la ineficacia de las medidas de tratamiento del riesgo pueden constituir un riesgo importante. Para tener la seguridad de que las medidas son eficaces, es necesario que el seguimiento sea una parte integrante del plan de tratamiento del riesgo. El tratamiento del riesgo también puede introducir riesgos secundarios que necesitan que se aprecien, se traten, se realice seguimiento y se revisen. Estos riesgos secundarios se deberfan incorporar en el mismo plan de tratamiento que el riesgo original, y no tratarse como riesgos nuevos, La relacién entre los dos riesgos deberia identificarse y mantenerse. 5.5.3 Preparacién e implementacion de los planes de tratamiento del riesgo La finalidad de los planes de tratamiento del riesgo consiste en documentar la manera en que se implantaran las opciones de tratamiento elegidas. La informacion proporeionada en Jos planes de tratamiento deberia incluir lo siguiente: ~ las razones que justifican la seleccién de las opciones de tratamiento, incluyendo los beneficios previstoss - las personas responsables de fa aprobacién del plan y las personas responsables de la implementacién del plan; jones propuestas; — las necesidades de recursos, incluyendo las contingencias; ~ las medidas del desempeiio y las restriceiones; ~ los requisitos en materia de informacién y de seguimiento; y ~ el calendario y la programacién. Los planes de tratamiento deberian integrarse en los procesos de ges y discutirse con las partes interesadas apropiadas. n de la organizacién Las personas que toman decisiones y las otras partes interesadas deberian estar enteradas de la naturaleza y amplitud del riesgo residual después del tratamiento del riesgo. El riesgo residual se deberia documentar y someter a seguimiento, revisién y, cuando sea apropiado, a tratamiento adicional, 56 Seguimiento y revision El seguimiento y la revisién deberian planificarse en el proceso de tratamiento del riesgo y someterse a una verificacién o una vigilancia regular. Esta verificacién o vigilancia puede ser periédica o eventual. DOCUMENTO CONTROLADO No Fotocopiar sin autorizacionNORMA TECNICA NTP-ISO 31000 PERUANA 26 de 30 Las responsabilidades del seguimiento y de la revisién deberfan estar claramente definidas. Los procesos de seguimiento y de revisién de la organizacién deberfan abarcar todos los aspectos del proceso de gestién del riesgo, con la finalidad de: — asegurar que los controles son eficaces y eficientes tanto en su dit utilizaci6n; = obtener la informacién adicional para mejorar la apreciacién del riesgo; - analizar y sacar conclusiones de los sucesos (incluyendo los cuasi-accidentes), cambios, tendencias, éxitos y fallos; = detectar los cambios en el contexto interno y externo, incluidos los cambios en los criterios de riesgo y en el propio riesgo, que puedan requerir la revisién de los tratamientos de riesgo y de las prioridades; € ~ identificar los riesgos emergentes. 10 como en su El avance en la implantacién de los planes de tratamiento del riesgo proporciona una medida del funcionamiento. Los resultados se pueden incorporar en la gestién del funcionamiento global de la organizacién, en su medicién y en las actividades externas & internas. Los resultados del seguimiento y de la revision se deberian registrar ¢ incluir en informes internos y externos, segin sea apropiado, y también se deberian utilizar como elementos de entrada para la revisién del marco de trabajo de la gestién del riesgo (véase 4.5). 5.7 Registro del proceso de gestién del riesgo Las actividades de gestién del riesgo deberfan ser trazables. En ef proceso de gestién del riesgo los registros proporcionan Ia base para la mejora de los métodos y de las herramientas, asi como del proceso en su conjunto. Las decisiones relativas a la creacién de registros deberian tener en cuenta: ~ las necesidades de Ia organizacién en materia de aprendizaje continuo; ~ los beneficios de reutilizar la informacién para fines de gestin; = los costes y los esfuerzos que suponen la creacién y el mantenimiento de los registros; ~ las necesidades legales, reglamentarias y operacionales para efectuar los registros; = el método de acceso, la facilidad de recuperacién y los medios de almacenaje; — el periodo de conservacién; y ~ el cardcter sensible de la informacién, DOCUMENTO CONTROLADO No Fotocopiar sin autorizacionNORMA TECNICA NTP-ISO 31000 PERUANA 27 de 30 ANEXO A (INFORMATIVO) ATRIBUTOS DE UNA GESTION DEL RIESGO OPTIMIZADA. A Generalidades ‘Todas las organizaciones deberfan tener como objetivo disponer de un nivel apropiado de desemperio de su marco de trabajo de la gestién del riesgo, en linea con el grado de criticidad de las decisiones a tomar, La lista de atributos que figura a continuacién representa un nivel elevado de desempefio de la gestién del riesgo. Para ayudar a las organizaciones a medir su propio desempefio con respecto a estos criterios, se proporcionan algunos indicadores tangibles para cada atributo, AQ Puntos clave AQM La organizacion tiene una comprensién exhaustiva, correcta y actualizada de sus riesgos. A22 Los riesgos de la organizacién estan en los limites de sus criterios de riesgo. AS Atributos ABL ‘Mejora continua Se pone énfasis en la mejora continua de la gestién del riesgo mediante el estab de metas de desempeito organizacional, medicién, revisién y la modificacién post Jos procesos, los sistemas, los recursos, la capacidad y las habilidades. Los indicadores tangibles son, por ejemplo, la existencia de objetivos de desempefio explicitos que permitan medir el desempefio individual de los responsables y el de la propia organizacién, El desempefio de la organizacién se puede publicar y comunicar. ‘Normalmente, habri al menos una revisién anual del desempefio y después una revision de los procesos y del establecimiento de los objetivos de desempefio revisados para el periodo siguiente. Esta evaluacién del desempefio de fa gestién del riesgo es una parte integral de la evaluacién del desempefio global de la organizacién y del sistema de medicién del desempeiio de los departamentos y de las personas. DOCUMENTO CONTROLADO No Fotocopiar sin autorizaciénNORMA TECNICA NTP-ISO 31000 PERUANA, 28 de 30 AB2 Responsabilidad completa de los riesgos La_gestién del riesgo optimizada incluye una responsabilidad exhaustiva totalmente definida y aceptada de los riesgos, los controles y las tareas de tratamiento del riesgo. Las personas designadas deben aceptar la responsabilidad completa, tener las habilidades necesarias, disponer de los recursos adecuados para verificar los controles, realizar el seguimiento de los riesgos, mejorar los controles, y comunicar eficazmente a las partes interesadas externas ¢ internas todo lo referente a los riesgos y a su gestion. Los indicadores tangibles son, por ejemplo, el hecho de que todos los miembros de una organizacion hayan tomado conciencia plenamente de los riesgos, de los controles, y de las tareas de las que son responsables. Normalmente, esto estard registrado en las descripciones del puesto de trabajo/ocupacién, y en las bases de datos o en los sistemas de informacién. La definicién de las funciones, la obligacién de rendir cuentas y las responsabilidades en materia de gestién del riesgo deberian formar parte de todos los programas de acogida para las incorporaciones nuevas a un puesto o una funcién La organizacién debe asegurase de que todas las personas responsables disponen de todo lo necesario para cumplir su funcién, proporciondndoles la autoridad, el tiempo, la formacién, los recursos y las habilidades necesarias para asumir sus responsabilidades. isiones A33 Aplicacién de la gestién del riesgo en todas las tomas de d ‘Todas las tomas de decisiones dentro de la organizacién, cualquiera que sea el nivel de importancia y de relevancia, implican la consideracién explicita de los riesgos y la aplicacién de la gestién del riesgo hasta el grado apropiado. Los indicadores tangibles son, por ejemplo, la existencia de registros de las reuniones y de las decisiones, donde se muestre la realizacién de las discusiones explicitas sobre los riesgos. Ademas, deberia ser posible comprobar que todos los componentes de la gestién del riesgo estén representados en los procesos clave de toma de decisiones en la organizacién, por ejemplo, en las decisiones sobre la asignacién del capital, sobre proyectos importantes, y sobre reestructuracién o cambios de la organizacién. Por estas razones, en el seno de una organizacion se considera que una gestién del riesgo que esté bien consolidada proporciona las bases para un gobiemo eficaz AB4 Comunicacién continua Una gestién del riesgo optimizada incluye comunicaciones continuas con las partes interesadas externas e internas en la empresa, incluyendo informes exhaustivos y frecuentes sobre el desempefio de la gestién del riesgo, como parte de un buen gobierno. DOCUMENTO CONTROLADO No Fotocopiar sin autorizacionNORMA TECNICA NTP-ISO 31000 PERUANA, 29 de 30 La comunicacién con las partes interesadas como un componente integral y esencial de la gestién del riesgo es un ejemplo de indicador tangible. La comunicacién se contempla como un proceso de doble sentido, de manera que se puedan tomar decisiones informadas cortectamente sobre el nivel de riesgo y la necesidad de un tratamiento del riesgo, en funcidn de criterios de riesgo exhaustivos y adecuadamente establecidos. Los informes externos ¢ internos exhaustivos y frecuentes, tanto sobre los riesgos ignificativos como sobre el desempefio de la gestign del riesgo, contribuyen sustancialmente a un gobierno eficaz dentro de una organizacién. ABS Integraci6n completa en la estructura de gobierno de la organizacién La gestién del riesgo se considera central en los procesos de gestidn de la organizacién, de maneta que los riesgos se consideran en términos del efecto de la incertidumbre sobre los objetivos. La estructura y el proceso de gobiemo se basan en la gestién del riesgo. Una gestién del riesgo eficaz se considera esencial por la direccién para la consecucién de los objetivos de la organizacién, Los indicadores tangibles son, por ejemplo, el lengu: como los materiales escritos de la organizacién importantes que utilizan el término "incertidumbre” en relacién con los tiesgos. Este atributo también se refleja normalmente en las declaraciones de la politica de la organizacién, en particular las relativas a la gestién del riesgo. Normalmente, este atributo se podrfa verificar a través de las entrevistas con la direccién y a través de Ia evidencia de sus acciones y declaraciones, DOCUMENTO CONTROLADO No Fotocopiar sin autorizacionNORMA TECNICA NTP-1SO 31000 PERUANA. 30 de 30 BIBLIOGRAF! [1] 180 Guide 73:2009, Risk management. Vocabulary. [2] ISOMEC 31010, Risk management. Risk assessment techniques. DOCUMENTO CONTROLADO No Fotocopiar sin autorizacién