UNE UNE-ISO 31000 Marzo 2018 Gestién del riesgo Directrices Esta norma ha sido elaborada por el comité técnico CTN 307 Gestion de riesgos, cuya secretaria desempena UNE.LUNE-ISO 31000 Gestién del ries Direetrices Risk management Guidelines. ‘Management du risque Lignes directrices. [sta norma es idéntica a la Norma Internacional [SO 31000:2018. [Esta norma anulay sustituye a la Norma UNEASO 31000:2010. Las observaciones a este dacumento an de digs Asociacién Espafiola de Normalizacin Genoa, 28008 MADRID-Expaa Infotuneorg swwormenre Depésto lea: a 10593:2010 Publicado por AENOR INTERNACIONAL S.U-too licencia dol Asoeai6n Espatla de Nommalzain, Reproduced prohibit3 UNE-IS0 31000:2018 indice Prologo, Prologo de la version ea espatil.. Introduccién.. Objeto y campo de aplicacién... [Normas para CONSUL wns 54.1 Comprensidn ce a organizacin y de su context. 54.2 Articulacf6n del compromiso con la gestidn del riesgo. 54.3 Asignaci6n de roles, autoridades, responsabilldades y obligacion de rendir cuentasen la organtzacion, 544 Asignaci6n de recursos.. 54.5. Establecimiento de la comunicacién y la consulta. 55 Implementactén... 56 — Valoracién.. 57 Mejora. 5.7.4 Adaptacion. 5.72 Mejora continua... 62 Comunicacién y consulta. 63 Alcance, contesto yr 633. Contextos externo e internd w..-- 634 Definicion de las criterios del riesgo. oa tvaluacion delniesgo. GAA Generalidades... 6A2 — Identificacién del riesgo GA3 Analisis del riesgo GAA Valoracién delriesgo . 65 Tratamiento del riesgo. 65 Generalidades.. 652 Seleccién de las opciones para el tratamiento del riesgo. 653. Preparacién e implementacion de los planes de tratamiento del riesgo 66 Seguimientoy wevisi6n.. 6.7 Registro e inforn BibliografiaUNE-1SO 31000:2018, Prélogo 180 (Organizacién Internacional de Normallzacién) es una federacién mundial de organismos nacionales de normalizacin (organisms raiembros de ISO). El trabajo de preparacién de las normas Internacionales narmalmente se realiza a través de los comités téenicas de 1S0. Cada organismo ‘miembro interesado en una materia para la cual se haya establecida un comité téenico, tiene el derecho de estar representalo en dicho comité. Las organizaciones internacionales, piblicas y privadas, en coordinacién con 'SO, también partieipan en el trabajo. SO colabora estrechamente com ia Comision Hlectrotécnica Internacional (IC) en todas las materias de normalizacion electrotécnica, En a parte 1 de las Directivas SO/IEC se describen los procedimientos uilizados para desarrollar esta norma y para su mantenimiento posterior. En particular deberfa tomarse nota ide los diferentes criterios de aprobacién necesarios para los distintos tipos de documentos 1S0, Esta norma se redactd \deacuerdo a las reglaseditoriales de la parte 2 de las irectivas ISO/IEC. www iso.org/drectives. Se llama la atencién sobre la posibilidad de que algunos de los elementos de este documento puedan estar sujetos a derechos de patente. ISO no asume la responsabilidad por la identificacién de cualquiera 0 todos los derechos de patente. Los detalles sobre cualquier derecho de patente {dentifiado durante el desarrollo de esta norma se indican en la intraduecin y/o en la lista ISO de ddeclaraciones de patente recibidas. ywwwiso.ore/patents. Cualquier nombre comercial utiizado en esta norma es informacién que se proporciona para comodidad del usuario yno constituye una recomendacién. Para obtener una explicacién sobre el significado de los términos especiticos de ISO y expresiones relacionadas con la evaluacién de la conformidad, as{ como informacién de Ia adhesin de ISO a las principios de la Organizacién Mundial del Comercio (OMC) respecto a los Obstéculos Téenicos al Comercio (OTC), véase la siguiente direcciin: wwww.iso.org/iso/foreword htm El comité responsable de esta rorma es el IS0/TC 262, Gestion del riesgo Esta segunda edicién anula y sustituye a la primera edicion (150 31000:2009) que ha sido revisada téonicamente Los principales cambios en comparaci6n con la edici6n anterior son los siguientes: ~ se revisan los prineipios de la gestion del riesgo, que son los criterias lave para su éxito; = se destaca el lierazgo de laalta direccién y la integracién de la gestién del riesgo, comenzando con la gobernanza de la organizacién; = se pone mayor énfasis en la naturalezaIterativa de la gestin del riesgo, sefialando que las nuevas cexperiencias, el conocimieato y el andlisis pueden llevar a una revisién de los elementos del proceso, las acciones y los controles en cada etapa del proceso; ~ se simplifea el contenido ccn un mayor enfoque en mantoner un modelo de sistemas abiertos para Adaptarse-a multiples neces dades y contextos.5 UNE-IS0 31000-2018 Prélogo de la versién en espaiiol Este documento ha sido traducido por el Grupo de Trabajo Spanish Translation Task Force (STTE) del Comité Téenico 180 /TC 262, Gestin del riesgo, en el que participan representantes de los organismos nacionales de normalizaciny representantes del sector empresaral de los siguientes pases Argentina, Chile, Colombia, Costa Rica, Ecuador, El Salvador, Espafa, México, Panams, Perd, y Uruguay. Igualmente, en el citado Gripo de Trabajo participan representantes de COPANT (Comisién Panamericana de Normas Técricas) e INLAC (Instituto Latinoamericano dela Calidad), Esta traduecién es parte del resultado del trabajo que el Grupo IS0/TC 262/STTF viene desarrollando desde su creacién en el aio 20:7 para lograr la unificacin de la terminologfa en lengua espafiola en el Ambito dela gestién del riesgo.UNE-1SO 31000:2018 “6 0 Introduccién Este documento esté dirigido a las personas que crean y protegen el valor en las organizaclones Bestionando riesgos, tomando decisiones, estableciendo y logrando objetivos y mejorando el desempefo Las organizaclones de todos 0s tipas y tamafios se enfrentan a factores ¢ Influenclas externas e internas que hacen incerto si ngrarsin sus objetivos. La gestion del riesgo es iterativa y asiste a las organizaciones a establecer su estrategta, lograr sus bjetivos y tomar decisiones nformadas. La gestidn dot riesgo es parte e la gobernanza y el liderazgo y es fundamental en la manera en que se ‘gestiona la organizacién en todos sus niveles Esto contibuye ala mejora de los sistemas de gest, La gestion del riesgo es parte de todas las actividades asocladas con la organizacién e incluye la Interaecién con la partes interesadas. La gostién del riesgo considera los contextos externo e interno de la oFganizacién, incluido el comportamiento humano y losfactores culturales. La gestin del riesgo est basaca en los principios, el marco de referencia el proceso descritos en este documento, conforme se ilustr en la figura 1. Estos componentes podrian existir previamente en toda © parte de la organizaciOn, sin embargo, podtia ser necesario adaptarlos © mejorarlos para que la gestion del riesgo sea eficienteeficaz y coherente. oe ete) resets) Figura { ~ Principtos, marco de referencia y procesoUNE-ISO 31000:2018, 1. Objeto y campo de aplicacién Este documento proporciona directrices para gestionar el riesgo al que se enffentan las organizaciones. La aplcacin de estas directrices puede adaptarse a cualquler organizacién y a su context, Este documento proporciona un enfoque comin para gestionar cualquier tipo de riesgo y no es especifico de una industria oun sector ste documento puede utiizarse alo largo dela vida de Ia organizacion y puede aplicarse a cualquier actividad, incluyendo la toma de decisiones a todos los nveles 2 Normas para consulta El presente documento no contiene normas para consulta. 3. Términos y definiciones Para los fines de este documento, se aplican los términos y definiciones siguientes. 180 e IEC mantienen bases de datos terminolégicas para su utlizacién en normalizacién en las sigutentes direcciones: ~ Plataforma de bisqueda en nea de IS0: disponible en hip:/ wwe isoorg/abp. ~ Blectropedia de IEC: disponbble en hitp://Awww.electropediaorg 3A rlesge Efecto de la incertidumbre sobre los abjtives Nou 1alacetrads: Un facta oie devia reapecto alo previst, Put ser postive, negativoo ambos y puede ‘hordr, crear oesutaren oportnidadesy amenazas. Nota 2alacntrata: Los objeivos pueden tener cdierente aspects ycatgoris ye pueden api a ferentes nivale. Nota 3lacatraae Com reuenc riesgo se expres en ermins de unter de ego (34), eventos (35) pone, ue ‘eansecuenlas (£6) yous prababliddes (37), 3.2._gestién del riesgo: ‘Actividades coordinadas para digi y controlar la organizaci6n con relacién al riesgo (3.1), 3.3. parte interesada: Persona u organizacin que puede afectar, verse afectada, 0 percibirse como afectada por una decsién o actividad. Not ala ersiénen epi: Las trminos en ings “intersted party” y “stakeholder” tienen una traduccn dnc al spatol como “parte interes 3 fuente de riesgo: Elemento que, pors solo o en combinacién con otros, tlene el potencial de generar riesgo (3.1).UNE-IS0 31000:2018, 8 35 evento: ‘Ocurrencia o cambio de un con unto particular de circunstancias, Not alnentrad: Un evento puedtener-unao mis ocurencsy puede tener varias aussy varias consscuencas (3.6) Not 2alnentrads: Un evento también puede ser alg prevsto gue nolega a curio algo no previsto que eure, Not Salaentrada: Un evento pods ser una fuente de es. 2.6 conseeuencia: Resultado de un evento (3:5) que afecta alos objtivos. Note Lalsentrda: Una consecionca puede ser cera incerta y peede tne eectospostos 0 nega, directs © indiector sabrlor objetivo. Nota 2luentrad: Las consecuencas st pueden expresardle manera cairn cuntativa Nota alnentrada: Conquer comsmuencia puede inerementarse par efects.encasaday fects acumulativos. 3.7. probabilidad (likelihood): Posibilidad de que algo suceda Nota alaentrad: En la terminalia de gestién del rego (32), la poabra“probabilidad” so wtiza para indica a Posblkad de que ago sien, extédefiida medida © determinata objeiva 0 subjetvamente, Talat © cumtativemente, y desea slando tamines generaes © matomias (come Una probabil matemutiao una Recuenciaenun period de temp determina) Nota 2 lacntrada: #1 érmino inglés “ethood peobablidad) no tien un equivalent directo en alguns lon ens lugar ete on fecveni el rine probaiiad Sin embargo, en gs a pala “probity” (probabildad mierda) se iterprealrecuentemeate de manera mis imitaa como un término ‘uteniico Por ello en la terminlogla de gestion del reso, ikelnood” se ui con la misma {ntepretacon sping ee Is palabra probable en otros ions stints dl ings. 3.8. control: Medida que mantiene y/o mod fica un riesgo (3.1). Not Lalaentads: Las controle tcyen, pro nos limitan a cslgier proceso, politica, dlspostv,prctic w otras ‘condiciones y/eaciones gue mastengan /omodlquen un reso. "Nota entrada” Lo onto slmpre pueden producirelefetn de modiicaién presto asumido 4. Principios El propésito de Ia gestién del riesgo es la ereacién y la proteccién del valor. Mejora ol desempefio, fomenta la innovacion y contribuye al logro de objetivo. Los principios descritos en I: figura 2 proporcionan orientacién sobre las caractersticas de una gestién del riesgo eficaz y eficente, eomunicando su valor y explicando su intencién y propésito. Los principios son el fundamento de la gestin del riesgo y se deberian considerar cuando se establece el marco de referencia y los procesos de la gestién del riesgo de la organizacién. Estos principios deberfan habilitar la organizzcién para gestionar los efectos dela incertidumbre sobre sus objetivos.9. UNE-IS0 31000:2018 Creaciény proteccién del valor Figura 2~ Principios La gestin del riesgo eficaz requier los elementos del igura 2 puede explicarse como sigue. a) Integrada La gestin del riesgo es parte integral de todas las actividades de la organizacién 1) Estructuraday exhaustiva Un enfoque estructurade y exhaustive hacia la gestién del riesgo contribuye a resultados coherentes y comparables, 6) Adaptada El marco de referencia y el proceso de la gestién del riesgo se adaptan y son proporcionales a los contextos externo e intern de la organizacién relacionados con sus abjetive. 4) Inclusiva La participaclén apropiaca y oportuna de las partes interesadas permite que se consideren su conocimiento, puntos de vista y percepclanes. Esto resulta en una mayor toma de conciencia y una gestion del riesgo informal,UNE-ISO 31000:2018 -10- ©) Dinamica Los rlesgos pueden aparecer, cambiar o desaparecer con los cambios de los contextos externo © interno de la organizacién. La gestién del riesgo anticipa, detecta, reconoce y responde a esos cambios y eventos de una manera apropiada y oportuna. 1) Mejor informacién disponible Las entradas a la gestién del riesgo se basan en informacién hist6riea y actualizada, asi como en cexpectativas futuras, La gestion Ue rlesgo lene en cuenta explictamente cualqulerIimieacion © Incertidumbre asociada con tal informacion y expectaivas. La informacién deberfa ser oportuna, clara y disponible para las partes interesadas pertinentes, 2) Factores humanos y culturales El comportamiento humano y la cultura influyen considerablemente en todos los aspectos de la gestion del riesgo en todos los iveles y etapas. 1h) Mejora continua La gestion del riesgo mejora continuamente mediante aprendizaje y experiencia 5 Marco de referencia 5. Generalidades El propésito del marco de referencia de la gestén del riesgo es asistir ala organizacin en integrar la _gestién del riesgo en todas sus actividades y funciones significaivas. La eficacia de la gestin del riesgo ddependers de su integracién en la gobernanza de la arganizacién, incluyenda la toma de decisiones, Esto requiere el apoyo de ls partes interesadas,particularmente dela alta direccién. El desarrollo del marco de referencia implica integrar, dsefiar, implementar, valorar y mejorar la .gestién del riesgo a lo largo de toda la organizacién. La figura 3 ilustra los componentes del marco de referencia,ou UNE-ISO 31000:2018, Liderazgo y compromiso Figura 3 ~ Marco de referencia La organizacién deberfa valorar sus practicas y procesos existentes de la gestiOn del riesgo, valorar cualquier brecha y abordar estas brechas en el marco de referencia, Los componentes del marco de referencia yla manera en la que trabajan juntos, deberian adaptarse a las necesidades dela organizacion 5.2 Liderazgo y compromiso Laalta direcci6n y os érganos de supervision, cuando sea aplicable, deberian asegurar que la gesti6n del riesgo esté integrada en todas las actividades de la organizacién y deberian demostrar el liderazgo yy compromiso: = adaptando ¢ implementando todos los componentes del marco de referencia; ~ publicando una dectaraci6n o una poltica que establezea un enfoque, un plan o una linea de accién para la gestin del riesgo; = asegurando que los recursos necesarios se asignan para gestionat Ios riesgos; ~ asignando autoridad, respensabilidad y obligacin de rendir cuentas en los niveles apropiados ‘dentro de la organizacion;UNE-ISO 31000:2018 12. Esto ayudar a la onganizaciona: ~ alinear la gestin del riesgo.con sus objetivos, estrateia y cultura; = reconocer y abordar todas las obligaciones, asi como sus compromisos voluntarios; ~ establecer la magnitud y el tipo de riesgo que puede o no ser tomado para guiar el desarrollo de los criterios del riesgo, asegurando que se comunican a la organizacién y a sus partes interesadas. ‘comuniear ol valor de la gestién del rieago ala anganizacién y ous partes intorecads = promover el seguimientosistematico de los riesgos; ~ asegurarse de que el marco de referencia de la gestion de riesgo permanezca apropiado al contexto de la organizacién, Laalta direccién rinde cuentas por gestionar el riesgo mientras que los 6rganos de supervisin rinden cuentas por la supervisin de a gestién del riesgo, Frecuentemente se espera o se requiere que los Srganos de supervision ~ se aseguren de que los respos se consideran apropiadamente cuando se establezcan los objetivos dela organizacién; = camprenidan los riesgos a los que hace frente la organizacién en a bisqueda de sus objetivos; se aseguren de que os sistemas para gestionar estos riesgos se implementen y operen eficazmente; = se aseguren de que estos rlesgos sean aproplados en el contexto de los abjetivos de la organizacion; ~ se aseguren de que Ia informacién sobre estos rlesgos y su gestién se comunique de la manera apropiada, 5.3 Integracion La integracién de la gestin del riesgo depende de la comprensién de las estructuras y el contexto de la ‘organizacion. Las estructuras difieren dependiendo del propésito, las metas y la complejidad de la ‘organizacin. El riesgo se gestiona en cada parte de la estructura de la organizacién. Todos los ‘miembros de una organizaci6n tienen la responsabilidad de gestionar el riesgo. La gobemanza guia el curso ¢e la organizacién, sus relaciones externas e internas y las reglas, los pracesos y as précticas necesarios para alcanzar su propésito. Las estructuras de gestién convierten la trlentacién de la gobernanza en la estrategia y los objetivos asociados requerids para lograr los niveles deseados de desempefo sostenible y de viabilidad en el largo plazo. La determinacién de los roles para la rendicion de cueatas y la supervisin de la gestién del riesgo dentro de la organizacién som partes integrales dela gobernanza de la organizacién, La integracién de la gestién del riesgo en la organizacin es un proceso dindmico e iterativo, y se deberfa adaptar a las necesidades y a la cultura de la organizacién. ta gestién del riesgo deberia ser tuna parte de, y no estar separada del propésito, la gobernanza, el liderazgo y compromiso, la estrategla, los objetivos yas operaciones de la organizactén.a3 UNE-1S0 31000:2018, 5A Disefio SAL Comprensidn de la organizactén y de su contexto La organizacién deberia analzar y comprender sus contextos externo e interno cuando disefie el ‘marco de referencia para gestionar el riesgo. Elanalisi del contexto externo dela organtzacién puede inclulr, pero no imitarse a factores sociales, culturales, politicas, lagales, reglamentarios, Rinancieros, teenolégl fecondmicas y ambientales ya sea a nivel internacional, nacional, regional o local; ~ los impulsores clave y las tendencias que afectan a los bjetvos dela organizacién, ~ as relacones,percepiones, valores, necesidadesy expectativas de las partes Interesadas externas; ~ las relaiones contractualesy los compromisos; ~ Ia complejidad de las redes y dependencias. Elandlisis del contexto interno de a organizacén puede incu, pero no limitarse a ~ Ja vist, la misién ys valores; ~ la gobernanza, la estructura de la organizacién, ls roles y a rendieion de cuentas; = laestrategia, los objetivos yas politica ~ la cultura dela organizaci = las normas las directrices ylos modelos adoptados por la organizacién; ~ las capacidades, entendidas en términos de recursos y conocimiento (por ejemplo, capital, tiempo, personas, propiedad intelectual, procesos, sistemas y tecnologlas); ~ tos datos los sistemas de in‘ormacin y los Mujos de informacion; ~ las reaciones con partes ineresadas interna, tenlendo en cuenta sus percepcionesy valores; ~ las relaciones contratualesy las compromisos: ~ las interdependenciaseinterconesiones 5A2 _Articulacién del compromiso con la gestidn del riesgo Laaltadireccién y los organismos de supervisién, cuando sea aplicable, debertan articular y demostrar su compromiso continuo con la gestién del riesgo mediante una politica, una declaracién u otras formas que expresen clarameate los objetivos y el compromiso de la organtzacién con la gestién del riesgo. £] compromiso deberfaincluir, pero no limitarse 2:UNE-ISO 31000:2018 -14- ~ el propésito de Ia organiza politicas; sn para gestionar el riesgo y los vinculos con sus objetivos y otras ~ el rofuerzo de la necesidad de integrar la gestién del riesgo en toda la cultura de la organizacién; ~ elliderango en la integracién de la gestién del riesgo en las actividades principales del negocio y la toma de decisiones; = as autoridades, las responsbildades y la obligaidn de rendir cuentas; = Ia isponibilidad de los reurs0s necesarios = la manera de manejarlos bjetivos en conflict; = la medicién informe como parte de los indicadores de desempefio de la organkzaclon; ~ larevisién yl mejora El compromiso con la gestién del riesgo se deberia comunicar dentro dela organizacion y alas partes Interesadas, de manera apropisda 54.3 Asignacién de roles, autoridades, responsabilidades y obligaci6n de rendir cuentas en laorganizacion La alta direccién y los érganos de supervision, cuando sea aplicable, deberfan asegurarse de que las autoridades, las responsabilidades y la obligacién de rendir cuentas de los roles relevantes con respecto a la gestion del riesgo se asignen y comuniquen a todos los niveles de la organizaci6n y deberfan: ~ enfatizar que la gestin del riesgo es una responsabilidad principal = identificar a las personas que tienen asignada la obligacién de rendir cuentas y la autoridad para gestlonar el riesgo (duefiosdel riesgo). S44 Asignacion de recursos La alta direccién y los érganos de supervision, cuando sea aplicable, deberian asegurar la asignacién de los recursos apropiados pata la gestin del riesgo, que puede inclulr, pero no limitarse a ~ as personas, las hablidades, ta experiencia y las competency; los proceso, los métodos ylas herramientas de la organizacién a utllzar para gestionarel riesgo; ~ os pracesosy procedimien:ns dacumentados; ~ os sistemas degestiin del informacién y del conocesinto; ~ eldesartolo profesional y hs necesidades de formacin. La organizacién deberia considerar las competencias ylimitaciones de los recursos exstentes“15 UNE-1SO 31000:2018 5A5 _Fstablecimiento de la comu La organizacién deberia establecer un enfoque aprobado con relacién a la comunicacién y la consulta, para apoyar el marco de re‘erencia y facilitar la aplicacién eficaz de la gestién del riesgo. La ‘comunicacién implica compartir informacién con el piblico objetivo. La consulta ademés implica que los participantes proporcionen retroalimentacién con la expectativa de que ésta contribuya y de forma alas decisiones u otras actividades. Los métodos y el contenido de la comunicacién y ia constlta {deberian reflejarlas expectativas de las partes interesadas, cuando sea pertinente. icacion y la consulta La comunicacién y la consulta deberfan ser apnrtunas y asegurar que se recap, console, sinttice y compart la informacién pertiaente, cuando Sea apropiado, y que se proporcione retroalimentaci6n y selleven a cabo mejoras. 5.5 Implementacién ‘La organizacién deberta implerentar el marco de referencia de Ia gestién del riesgo mediante: = el desarrollo de un plan apropiado incluyendo plazos y recursos; ~ Ia identifcacién de dénde, organizacién; indo, cémo y quién toma diferentes tipos de decisiones en toda la = la modificacién de los procesos aplicables para la toma de decisiones, cuando sea necesario; = el aseguramiento de que las disposiciones de la organizacién para gestionar el riesgo son claramente comprendidas ypuestas en prictica, La implementacién con éxito del marco de referencia requiere el compromiso y la toma de conciencia de las partes interesadas. Esto permite a las organizaciones abordar expltcitamente la incertdumbre en la toma de decisiones, al tempo que asegura que cualquier incertidumbre nueva o subsiguiente se pueda tener en cuenta cuando surja. Sise diseniae implementa correctamente, el marco de referencia de la gestién del riesgo asegurard que el proceso de lagestin del riesgo sea parte de todas actividades en toda la organizacién, incluyendo la toma de decisiones, y que los cambios en los contextos externo e interno se captarin de manera adecuada, 5.6 Valoracién Para valorar ia eicacta del marco de reterencia de ia gestion del riesgo, la organizacion deberta = medir periéicamente el desempefio del marco de referencia de Ia gestién del riesgo con relacién a ‘su propésito, sus planes par la implementacién, sus indicadores y el comportamiento esperado; = determinar si permanece idéneo para apoyar el logro de los objetivas dela organizacién, P 5.7 Mejora 5.7 Adaptacion La organizacién deberia realizar el seguimiento continuo y adaptar el marco de referencia de la gestin del riesgo en funcién de los cambios externas e internos. Al hacer esto, la organizacién puede ‘mejorar su valor.UNE-1S0 31000:2018 are 5.72 Mejora continua 1a organizaci6n deberia mejorar continuamente la idoneidad, adecuacién y eficacia del marco de referencia de la gestin del riesgo y la manera en la que se integra el proceso de la gestin del riesgo, Cuando se identifiquen brechas u oportunidades de mejora pertinentes, la organtzacién deberia desarrollar planes y areas y asignarlas a quienes tuviesen que rendir cuentas de su implementacion Una ver implementadas, estas mejoras deberian contribuir al fortalecimiento de la gestion del riesgo. 6 Proceso 6.1 Generalidades El proceso de la gestién del riesgo implica la aplicacion sistemtica de palitcas, procedimientos y précticas a las actividades de comunicacién y consulta, establecimiento del contexto y evaluacién, tratamiento, seguimiento, revisin, registro e informe del riesgo, Este proceso seilustra en la figura 4. ‘COMUNICACION ¥ CONSULTA ‘SEGUIMIENTO Y REVISION REGISTRO EINFORME Figura 4~ Proceso EI proceso de la gestién dol riesgo deberia ser una parte integral de la gesti6n y de la toma de decisiones y se deberia integrar en la estructura, las operaciones y los procesos de la organizacin. Puede aplicarse a nivel estratégico, operacional, de programa ode proyecto, Puede haber muchas aplicaciones del proceso de la gestién del riesgo dentro de la organizacién, adaptadas para lograr objetivos, y apropladas a los contextos externo e interno en los cuales se aplican“7. UNE-1SO 31000:2018 ‘Alo largo del proceso de la gestin del riesgo se deberia considerar la naturaleza dinémica y variable dol comportamiento humano y de la cultura. ‘Aunque el proceso de la gesti6x del riesgo se presenta frecuentemente como secuencial, en la prictica es iterative 6.2 Comunicacién y consulta El propdsito de la comunicaci6n y consulta es asistir a las partes interesadas pertinentes a comprender fe riesgo ins bases con las que se toman decisiones y las razones por las que son necesarias acciones especticas. La comunicacién ausca promover la toma de conciencia y la comprensién del riesgo, ‘mientras que la consulta implica obtener retroalimentacién e informacién para apoyar la toma de decisiones. Una coordinacién cercana entre ambas deberia facilitar un intercambio de informacién basado en hechos, oportuno, pertinente, exacto y comprensibe, teniendo en cuenta la confidencialidad « integridad de la informacin,asi como el derecho a la privacidad de las personas. La comunicacién y consulta con las partes interesadas apropiadas, externas e internas, se deberia realizar en todas y cada una delas etapas del proceso de la gestin del riesgo. La comunicacin y consulta pretende: ~ reunir diferentes éreas de experiencia para cada etapa del proceso de a gestién del riesgo: = asegurar que se consideren ce manera apropiada los diferentes puntos de vista cuando se definen Tos citerios del riesgo y cuando se valoran fs riesgos; ~ proporcionar suficiente informacién para facilitar la supervision del riesgo y la toma de decisiones: ‘construir un sentido de inclusién y propiedad entre las personas afectadas por el riesgo. 63. Alcance, contexto y criterios 631 Generalidades EL propésito del establecimient» del alcance, context y criterios es adaptar el proceso de la gestién del riesgo, para permitir una evaluacin del riesgo eficaz y un tratamiento apropiado del riesgo. El alcance, cl contexta y los criteriosimplican definirel alcance del proceso, y comprender los contextos externa & interno, 63.2 Definicién del aleance La organizacién deberia definirelalcance de sus actividades de gestin del riesgo. Como el proceso de la gestin del riesgo puede aplicarse a niveles distintos (por ejemplo: estratégico, ‘operacional, de programa, de proyecto u otras actividades), es importante tener claro el alcance considerade, los objetivas pertinentes a considerar y su alineamiento con los objetivos de la organizacién.UNE-IS0 31000:2018 -18 Ena planificacién del enfoquese incluyen ls siguientes consideraciones: ~ los objetivosy las decisiones que se necesitan tomar; ~ os resultados esperados dela etapasaejecutar en el proceso; ~ el tiempo, la ubicacén, las inclusiones y las exclusions especiias; ~ las herramientasy las ténicas apropiadas de evaluacin del riesgo; ~ os recursos requeridas,responsabilidades yrepstros a conservar; ~ las relaciones con otros proyectos, proceso y actividades 633 Contextos externoc interno Los contextos externo ¢ interno son el entorno en el cual la organizacién busca definiry lograr sus objetivos. El contexto del proceso de la gestién del riesgo se deberlaestablecer a partir dela comprensin de los entornos externo e interno en los cuales opera la organizacién y deberla refiejar el entorno especifico dea actividad en la cual se va aaplicar el proceso de la gestién del riesgo. La comprensidn del contexto es importante porque: ~ la gestion del riesgo tione lugar en el contexto de los objetivos y las actividades de la organizacién; = los factores organizacionales pueden ser una fuente de riesgo; = el propésito y alcance del proceso de la gestin del riesgo puede estar interrelacionado con los objetivos dela organizacién somo un todo; 1a organizacidn deberia establecer los contextos externo ¢ interno del proceso de la gestién del riesgo considerando los factores mendonados en 5.4.1. 634 Deft jn de los criterios del riesgo 1a organizacién deberia precisar la cantidad y el tipo de riesgo que puede o no puede tomar, con relacién a los objetivos. Tambien deberla defini ls criterias para valorar la importancia del riesgo y para apoyar los procesos de toma de detisiones. Los viterios del riesgo se deberiat linear cum el ‘marco de referencia de la gestién del riesgo y adaptar al propésito y al alcance especticns de la actividad considerada, Los eriterios del riesgo deberian rflejar los valores, objetivos y recursos de la organizacién y ser coherentes con las politicas y declaraciones acerca de la gestin del riesgo. Los criterios se deberian defini teiendo en consideracién las obligaciones dela organizacién y los puntos de vista de sus partes interesads. ‘Aunque los crtetios del riesgo se deberian establecer al principio del proceso de la evaluacién del lesgo, éstos son dinsmicos, y deberfan revisarse continuamente ysifuese necesario, modificarse,-19- UNE-ISO 31000:2018 Para establecer los riterios del riesgo, se deberia considerar los ~ Ta naturateza y los tipos de las incertidumbres que pueden afectar a los resultados y objetivos (tanto tangibles como intangibles); ~ como se van a definiry medi las consecuencias (tanto positvas como negativas) ylaprobabildad ~ los Factores relacionados co el tiempo; ~ la coherencia en el uso dela mediclones; ~ cémo se va determinar el nvel de eiesgor ~ céma se tendrnen cuenta las combinacionesy las secuencias de miiiplesresgos; = la capacidad de la organizacén, 64 — Evaluacién del riesgo 64.1 Generalidades La evaluacién del riesgo es el proceso global de identificcién del riesgo, andlisis del riesgo y valoracion del riesgo. La evaluacion del riesgo se deberia levar a cabo de manera sistemitica, iterativa y colaborativa, basindose en el conocimiento y los puntos de vista de las partes interesadas, Se deberta utilizar la ‘mejor informacién disponible, complementada por investigacién adicional, si fuese necesario, 6A.2 — Mdentificacién del riesgo El propéisito de la identifiacion del riesgo es encontrar, reconocer y deserbir los riesgos que pueden ayudar o impedir a una orgaaizacién lograr sus objetivos. Para la identificacién de los riesgos es importante contar con informacin pertinente, apropiaday actualizada La organizacién puede utilizar un rango de técnicas para identificar incertidumbres que pueden afectara uno o varios objetivos Se deberian considerar los factores siguientes y la relacin entre estos Factores Ine fuentes de reage tangibles © intangibles; las causas y los eventos; las amenazas y las oportunidades; las vulnerabilidades y las capacidades; los cambios en los contextosexterno e interns ~ los indicadores de riesgos emengentes; ~ la naturaleaa y el valor de os actives y los recursos;UNE-1S0 31000:2018 -20 las consecuencas y sus impactos en los objetivos; Jas limitaciones de conocimientoy laconfiabilidad de la informacién; los factores relacionadas cone tiempo: ~ Tos sesgos os supuestos y ls ereencias de las personas involucradas. La organizacién deberfa identficar los siesgos, tanto si sus fuentes estén o no bajo su control. Se Aeberfa considerar que puede raber mas de un tupo de resultado, que puede dar lugar a una variedad ‘de consecuencias tangibles o intangibles. 64.3 Analisis del riesgo EL propésito del andlisis del riesgo es comprender la naturaleza del riesgo y sus caracteristicas incluyendo, cuando sea apropiado, el nivel del riesgo. El andlisis de riesgo implica una consideracion dotallada de incertidumbres, fuentes de riesgo, consecuencias, probabilidades, eventos, escenarios, controles y su eficacia, Un evento puede tener milltiples causas y consecuencias y puede afectar a rmiltiples objetivos. landlisis del riesgo se puede reallzar con diferentes grados de detalle y complejidad, dependiendo del propésito del andlisis, la dispoaibilidad y la confabiidad de la informacién y los recursos disponibles Las técnicas de andlists pueden ser cualltativas, cuantitativas 0 una combinacién de éstas, dependiendo de las ercunstancias y del uso previsto. El andliss del riesgo deber‘a cansiderar fatores tales como: la probabilidad dellos eventes y de las conseeuencias; lanaturaleza y la magnitud de las eonsecuencias; Ja complejdad y a interconexién;, ~ los factores relacionados con el tiempo y la volatilidad; Ia eficacia de los controles existentes; los niveles de Sensibilidad yde confianza, El andlisis del riesgo puede estar influenciado por cualquier divergencia de opiniones, sesgos, percepciones del riesgo y juices. Las influencias adicionales son la calidad de la informacién utilizada, los supuestos y las exclusiones establecidos, cualquier limitacion de las téenicas y cémo se ejecutan éstas, Estas Influencias se deberian considerar, documentary comunicar a las personas que toman decisiones. Los eventos de alta incertidumbre pueden ser difcles de cuantificar. Esto puede ser una cuestién importante cuando se analizan eventos con consecuencias severas. En tales casos, el uso de una combinacién de técnicas generalmente proporciona una visién més ampliae El anlisis del riesgo proporciona una entrada para la valoracién del riesgo, para las decsiones sobre la manera de tratar los riesgos y si es necesario hacerlo y sobre la estrategia y los métodos mis apropiados de tratamiento dl riesgo. Los resultados proporcionan un entendimiento profundo para tomar decisiones, cuando se esté eligiendo entre distintas alternativas, y las opciones implican diferentes tipos yniveles de riesgo. 644 Valoracién del riesgo El propésito de la valoracin del riesgo es apoyar a la toma de decisiones. La valoracién del riesgo Inmpliea comparar los resultados del andlisis dol riesgo con los eriteriog del riesgo establecides para ‘determinar cuando se requiere una accién adicional, Esto puede canducir a una decision de: ~ nohacer nada més; ~ considerar opciones para eltratamiento del riesgo; ~ realizar un andlsisadiional para comprende mejor el riesgo; ~ mantener los controles exisentes; ~ reconsiderar los objetivos. las decisiones deberfan tener en cuenta un contexto més amplio y las consecuencias reales y percibidas por las partes interesadas externas ¢internas Los resultados de la valoracin del riesgo se deberfan registrar, comunicary luego validara los niveles | apropiados dela organizacién, 65 Tratamiento del riesgo 651 Generalidades El propésito del tratamiento dal riesgo es seleccionar e implementar opciones para abordat el riesgo. El tratamiento del riesgo implica un proceso iterativo de: ~ formulary selecionaropctenes para el tratamiento del riesgo; ~ planificar eitaplementarel watamiento dl riesgo; ~ evahiara eficacia de ese traamiento; ~ decidir el resgo residual es aceptable; ~ sino es aceptable, feetuar tatamiento adcional 65.2 _ Selecci6n de las opciones para el tratamiento del riesgo 1a seleccién de las opciones mis apropladas para el tratamiento del riesgo implica hacer un balance entre los beneficios potenciaies, derivados del logro de los objetivas contra castos, esfuer20 0 ddesventajas de la implementacisnUNE-IS0 31000:2018 -22 Las opciones de tratamiento del riesgo no necesarlamente son mutuamente excluyentes o aproptadas fen todas las circunstancias. las opciones para tratar el riesgo pueden implicar una 0 més de las siguientes: evitar el riesgo decidienda ro inicio continuar con la actividad que genera el riesgo; = aceptaro aumentar el riesge en busca de una oportunidad: ~ eliminar la fuente de riesgo; smodiicar la probabilidad: ~ modifica las consecuencias = compattir el riesgo (por ejemplo: a través de contratos, compra de seguros}: = retenerel riesgo con base en una decsin informada La justiicacién para el tratamiento del riesgo es més amplia que las simples consideraciones teconémicas y deberia tener en cuenta todas las obligaciones de la organizacin, los compromisos voluntarias y los puntos de vista de las partes interesadas. La seleccién de las opciones para el tratamiento de riesgo deberiarealizarse de acuerdo con los objetivos de la organizacién, los criterios dl riesgo y los recursos disponibles. A selecclonar opciones para el tratamiento del riesgo, la organizaci6n deberta considerar los valores, las pereepciones, el involucrar potencialmente a las partes interesadas y los medios mas apropiados para comunicarse con ellas y consultarlas. igual efcaca, algunas partes interesadas pueden aceptar Iejor que otras los diferentes ‘ratamientos del riesgo. Los tratamientos dl riesgo, a pesar de un cuidadoso disefioe implementacién, pueden no produc los resultados esperados y pueds producir consecuencias no previstas. El seguimiento y la revision necesitan ser parte integral de la implementacin del tratamiento del riesgo para asegurar que las dlistintas maneras del tratamiento sean y permanezcan eficaces. El tratamiento del riesgo a su vez puede introducir nuevos resgos que necesiten gestionarse. ‘Sino hay opeiones disponibles para el tratamiento o si las opciones para el tratamiento no modifican ‘suficientemente el riesgo, stese deberfa registrar y mantener en continua revisin. Las personas que toman decisiones y otras partes interesadas deberian ser conscientes de la nnaturaleza y el nivel del rego residual después del tratamiento del riesgo. El riesgo residual se eberia documentar y ser obeto de seguimiento, revisién y, cuando sea apropiado, de tratamiento adicional. 6.53. Preparacién e implementacton de los planes de tratamiento del riesgo FI propésito de los planes de tratamiento del riesgo es especificar la manera en la que se implementarin las opciones elegidas para el tratamiento, de manera tal que los involucrados: comprendan las disposiciones, y que pueda realizarse el seguimiento del avance respecto de lo planificado plan de tratamiento deberfa identficar claramente el orden en el cual el tratamiento del riesgo se deberia implementa23- UNE-ISO 31000:2018, los planes de tratamiento deberian integrarse on los planes y procesos de la gestién de la organizacién, en consulta con las partes interesadas apropiadas La informacién proporcionadaen el plan del tratamiento deberfainclulr: ~ ol fundamento de la selearién de las opciones para el tratamiento, incluyendo los beneficios esperados: ~ las personas que rinden cuentas y aquellas responsables de Ia aprobacién e implementacin del plan; ~ lasacciones propuestas; ~ las recursos necesarios, inchyendo las contingencias; Jas medidas del desempero; las restriectones; los informes y seguimiento requeridos; Jos plazos previstos para la ealizacién y la fnalizacin de las aciones. 6.6 Seguimiento y revision El propésito del seguimiento y a revisién es asegurar y mejorar la calidad y la eficaca del diseno, la implementacién y los resultados del proceso, El segulmiento continua y la revisién periédica del proceso de la gestin del riesgo y sus resultados deberia ser una parte planificada del proceso de la ‘estién del riesgo, con responsibilidades caramente definidas. EI seguimiento y la revision ceberfan tener lugar en todas etapas del proceso. El seguimiento y la revision ineluyen planificar, reeopllar y analizar informacion, registrar resultados y proporcionar retroalimentacién. Los resultados del seguimientey la revision deberfan incorporarse a todas las actividades de lagesti6n del desempetio, de medicién y te informe dela organizacién, 6.7 Rogistro o informe El proceso de la gestién del riesgo y sus resultados se deberian documentare informar a través de los ‘mecanismos spropiadas. El registro e informe pretenden: ~ comunicar las actividades de a gestin del riesgo y sus resultados alo largo de la organizacion; ~ proporcionar informacion para a toma de decistones; ~ mejorar las actividades de la gestion del riesgo; = asistir la interaccién con las partes interesadas, Incluyendo a las personas que tienen la responsabilidad y la obligacién de rendir cuentas de las actividades de la gestion del riesgo.UNE-1SO 31000:2018 24. Las decisiones con respecto a la creacién, conservacién y tratamiento de la informacién documentada deberfan tener en cuenta, pero no limitarse a su uso, la sensibilidad de Ia informacién y los contextos externa e interno, El Informe es una parte integral de la gobernanza de la organizacién y deberia mejorar la calidad del {idlogo con las partes interesadas, y apoyar ala alta direccin y alos érganos de supervisién a cumplir sus responsabilidades, Los factares a considerar en el informe incluyen, pero no selimitan 2: ~ las diferentes partes interesidas, sus necesidades requisites especticos de informacion; ~ el costo la frecuencia y los tempos det informe; ~ el método del informe; ~ Ia pertinencia de la informacién con respecto a los objetivos de la organizacién y la toma de decisiones.-25- UNE-ISO 31000:2018 Bibliografia [1] 12031010, Risk management. isk assessment techniques.Para informacién relacionada con el desarrollo de las normas contacte con: ‘Asociacién Espatiola de Normalzacién Génova, 6 28004 MADRID-Espana, ‘Tel: 915 294900 info@une.org wwwaneorg, Para informaci6n relacionada con la venta y distribucién de las normas contacte con: ABNOR INTERNACIONAL S.A. ‘Tel: 914 326 000 normas@aenor:com UNE g Bnew CeNeLEC Ep) Some