Académique Documents
Professionnel Documents
Culture Documents
Nota: Este material es una interpretación de SGS Academy con fines académicos, y no pretende superar al
estándar original.
AC-GA-I-F-01-01 1
V1 – Agosto 2017
INTERPRETACIÓN NORMA ISO 31000:2018
INTRODUCCIÓN
Esta norma está orientada para las personas que crean y protegen el valor en las
organizaciones, mediante la gestión del riesgo, tomando decisiones, definiendo y alcanzando
los objetivos y mejorando el desempeño.
La gestión del riesgo es participativa y brinda soporte a las organizaciones, para establecer su
estrategia para lograr sus objetivos y tomar decisiones objetivas y documentadas.
La gestión del riesgo es parte fundamental de la dirección y del liderazgo para orientar a la
organización en todos sus niveles. Esto contribuye al desarrollo y mejora de los sistemas de
gestión.
La gestión del riesgo contempla los contextos externo, interno e incluye el comportamiento
humano y los factores socio culturales.
Esta norma establece directrices para gestionar el riesgo que enfrentan las organizaciones. La
implementación de estas directrices, se adaptan a cualquier tipo de organización y a su contexto.
Se establece un enfoque común para cualquier tipo de riesgo y no es específico de una
industria o sector. Esta norma se puede implementar a lo largo de la vida de la organización,
aplicarse a todas las actividades, incluso, a la toma de decisiones.
Referencias normativas
Términos y definiciones
3.1 Riesgo
Nota: Un efecto es una desviación respecto a lo planeado. Puede ser positivo, negativo o
ambos, y puede abordar, crear o resultar en oportunidades y amenazas. Los objetivos pueden
tener diferentes aspectos y categorías, y se pueden aplicar a diferentes niveles.
Nota: El riesgo se manifiesta en términos de fuentes de riesgo (3.4), eventos (3.5) potenciales,
sus consecuencias (3.6) y sus probabilidades (3.7).
Actividades definidas para dirigir y controlar una organización con respecto al riesgo (3.1)
Nota: Este material es una interpretación de SGS Academy con fines académicos, y no pretende superar al
estándar original.
AC-GA-I-F-01-01 2
V1 – Agosto 2017
3.3 Parte interesada
Persona u organización que puede afectar, verse afectada, o percibirse como afectada por una
decisión o actividad
Elemento que, por sí solo o en combinación con otros, tiene el potencial de generar riesgo
(3.1)
3.5 Evento
Nota: Un evento puede tener más de una ocurrencias y puede tener varias causas y varias
consecuencias (3.6).
Nota: Un evento también puede ser algo previsto que no llega a ocurrir, o algo no
previsto que ocurre.
3.6 Consecuencia
Nota: Una consecuencia puede ser cierta o incierta y puede tener efectos positivos o
negativos, directos o indirectos sobre los objetivos. Las consecuencias se pueden manifestar
de forma cualitativa o cuantitativa. Una consecuencia puede incrementar los efectos en
cascada y efectos acumulativos.
3.7 Probabilidad
3.8 Control
Nota: Los controles incluyen, cualquier proceso, política, dispositivo, práctica, condiciones y/o
acciones que mantengan y/o modifiquen un riesgo. Los controles no siempre logran generar
el efecto de modificación planificado.
4 Principios
Los principios de la gestión del riesgo, deberían permitirle a la organización, gestionar los efectos
de la incertidumbre sobre sus objetivos.
Para lograr una eficaz gestión del riesgo, se establecen los siguientes principios.
Nota: Este material es una interpretación de SGS Academy con fines académicos, y no pretende superar al
estándar original.
AC-GA-I-F-01-01 3
V1 – Agosto 2017
• Integrada: La gestión del riesgo es parte integral de todas las actividades de la
organización.
• Dinámica: Los riesgos pueden aparecer, cambiar o desaparecer con los cambios de
los contextos externo e interno de la organización. La gestión del riesgo anticipa,
detecta, reconoce y responde a esos cambios y eventos de una manera apropiada y
oportuna.
5 Marco de referencia
5.1 G ENERALIDADES
La finalidad del marco de referencia de la gestión del riesgo, es orientar a las organizaciones
para integrar la gestión del riesgo en todas sus actividades y funciones significativas. La eficacia
de esta integración depende de la alta dirección y de su toma de decisiones respecto al riesgo.
La organización debería valorar sus actividades y procesos en la gestión del riesgo, valorar
cualquier brecha y abordarlas en el marco de referencia.
Nota: Este material es una interpretación de SGS Academy con fines académicos, y no pretende superar al
estándar original.
AC-GA-I-F-01-01 4
V1 – Agosto 2017
5.2 L IDERAZGO Y COMPROMISO
La alta dirección debería establecer que la gestión del riesgo se implemente en todas las
actividades de la organización y evidenciar el liderazgo y compromiso:
- divulgar la orientación y/o la política que defina un enfoque, un plan o una directriz para
la gestión del riesgo;
- orientar la gestión del riesgo con sus objetivos, estrategia y cultura organizacional;
- identificar la magnitud y los tipos de riesgos que puede o no ser tomados en cuenta para
orientar el desarrollo de los criterios del riesgo, asegurando que se divulgan a la
organización y a sus partes interesadas.
La alta dirección y los niveles de supervisión, rinden cuentas de la gestión del riesgo realizada.
— asegurar que los riesgos se establecen eficazmente cuando se definen los objetivos de la
organización;
— asegurar que en los sistemas se implementa la gestión del riesgo y opera eficazmente;
— asegurar que los riesgos sean coherentes con el contexto de los objetivos de la organización;
5.3 I NTEGRACIÓN
Nota: Este material es una interpretación de SGS Academy con fines académicos, y no pretende superar al
estándar original.
AC-GA-I-F-01-01 5
V1 – Agosto 2017
La integración de la gestión del riesgo depende del conocimiento de la estructura y del contexto
de la organización. Las estructuras organizacionales dependen del propósito, las metas y la
complejidad de la organización. El riesgo se gestiona en todas las instancias de la estructura
de la organización. Todos los miembros de una organización tienen la responsabilidad de
gestionar el riesgo.
5.4 D ISEÑO
La organización debería analizar y comprender sus contextos externo e interno para el diseño del
marco de referencia para gestionar el riesgo.
- las situaciones clave y las tendencias que pueden afectar los objetivos de la
organización;
- la cultura de la organización;
Nota: Este material es una interpretación de SGS Academy con fines académicos, y no pretende superar al
estándar original.
AC-GA-I-F-01-01 6
V1 – Agosto 2017
- las capacidades, los recursos y conocimientos (por ejemplo, capital, tiempo, personas,
propiedad intelectual, procesos, sistemas y tecnologías);
- las relaciones con las partes interesadas internas, teniendo en cuenta sus percepciones
y valores;
La alta dirección y los niveles de supervisión, deberían demostrar su compromiso continuo con
la gestión del riesgo mediante una política, una declaración u otras formas que expresen
claramente los objetivos y el compromiso de la organización con la gestión del riesgo.
- liderar la integración de la gestión del riesgo en todas las actividades del negocio y en
la toma de decisiones;
- la revisión y la mejora.
El compromiso con la gestión del riesgo, se debería comunicar interna, externamente; y a las
partes interesadas de manera eficaz.
La alta dirección y los niveles de supervisión, deberían asegurarse que las autoridades, las
responsabilidades y la obligación de rendir cuentas con respecto a la gestión del riesgo, se
asignen y comuniquen a todos los niveles de la organización y deberían:
Nota: Este material es una interpretación de SGS Academy con fines académicos, y no pretende superar al
estándar original.
AC-GA-I-F-01-01 7
V1 – Agosto 2017
- establecer las personas que tienen asignada la responsabilidad de rendir cuentas y la
autoridad para gestionar el riesgo (dueños del riesgo).
La alta dirección y los niveles de supervisión, deberían asegurar la asignación de los recursos
para la gestión del riesgo, que pueden incluir:
- los procesos, los métodos y las herramientas asignadas para gestionar el riesgo;
La organización debería establecer las actividades necesarias para gestionar la relación entre la
comunicación y la consulta, para apoyar el marco de referencia y facilitar la aplicación eficaz
de la gestión del riesgo. La comunicación implica compartir información con las partes
interesadas. La consulta implica que los participantes faciliten la retroalimentación para que
contribuya a las decisiones u otras actividades. Los métodos y el contenido de la comunicación
y la consulta deberían reflejar las expectativas de las partes interesadas, cuando sea pertinente.
5.5 I MPLEMENTACIÓN
Nota: Este material es una interpretación de SGS Academy con fines académicos, y no pretende superar al
estándar original.
AC-GA-I-F-01-01 8
V1 – Agosto 2017
pueda tener en cuenta cuando surja.
El marco de referencia de la gestión del riesgo asegura, que sea parte de todas actividades
en toda la organización, incluyendo la toma de decisiones, y que los cambios en los contextos
externo e interno se identifican de manera eficaz.
5.6 V ALORACIÓN
Para evaluar la eficacia del marco de referencia de la gestión del riesgo, la organización
debería:
5.7 M EJORA
5.7.1 ADAPTACIÓN
6 Proceso
6.1 G ENERALIDADES
Las actividades para la gestión del riesgo implican la implementación sistemática de políticas,
procedimientos y prácticas a las actividades de comunicación y consulta, establecimiento del
contexto y evaluación, tratamiento, seguimiento, revisión, registro e informe del riesgo.
Las actividades de la gestión del riesgo deberían ser parte integral de la gestión y de la toma de
decisiones, se debería integrar a la estructura, a las operaciones y a los procesos de la
organización. Estas actividades se pueden aplicar a nivel estratégico, operacional, a programas y
proyectos.
Se pueden aplicar las actividades de la gestión del riesgo al interior de la organización, a los
Nota: Este material es una interpretación de SGS Academy con fines académicos, y no pretende superar al
estándar original.
AC-GA-I-F-01-01 9
V1 – Agosto 2017
objetivos y a los contextos externo e interno.
A lo largo del proceso de la gestión del riesgo se debería considerar la naturaleza dinámica y
variable del comportamiento humano y de la cultura.
La comunicación y consulta con las partes interesadas externas e internas, se debería realizar
en todas y cada una de las etapas del proceso de la gestión del riesgo.
- reunir diferentes áreas para cada etapa del proceso de la gestión del riesgo;
- asegurar que se toma en cuenta, los diferentes puntos de vista cuando se definen los
criterios del riesgo y cuando se valoran los riesgos;
6.3.1 GENERALIDADES
El proceso de la gestión del riesgo se puede aplicarse a niveles distintos (por ejemplo:
estratégico, operacional, de programa, de proyecto u otras actividades), es fundamental definir
el alcance, teniendo en cuenta, los objetivos de la gestión y su alineamiento con los objetivos
de la organización.
Nota: Este material es una interpretación de SGS Academy con fines académicos, y no pretende superar al
estándar original.
AC-GA-I-F-01-01 10
V1 – Agosto 2017
En la planificación del alcance, debería tener en cuenta:
- los tiempos, la ubicación de los riesgos, las inclusiones y las exclusiones definidas;
Los contextos externo e interno son el entorno en el cual la organización ejecuta sus
actividades para definir y lograr sus objetivos.
El contexto del proceso de la gestión del riesgo se debería establecer a partir de la comprensión
de los entornos externo e interno en los cuales opera la organización y debería evidenciar el
entorno específico de la actividad, en la cual se implementará la gestión del riesgo.
- el propósito y alcance del proceso de la gestión del riesgo puede estar interrelacionado
con los objetivos de la organización como un todo;
La organización debería establecer los contextos externo e interno del proceso de la gestión
del riesgo considerando los factores mencionados en 5.4.1.
La organización debería definir la cantidad y el tipo de riesgo que puede o no puede asumir,
con relación a los objetivos. También debería definir los criterios para evaluar la importancia
del riesgo y para apoyar la toma de decisiones. Los criterios del riesgo se deberían relacionar
con el marco de referencia de la gestión del riesgo y adaptarlos al propósito y alcance de la
actividad considerada. Los criterios del riesgo deberían evidenciar los valores, objetivos y
recursos de la organización y ser coherentes con las políticas y declaraciones acerca de la
gestión del riesgo. Los criterios del riesgo, se deberían determinar teniendo en cuenta las
obligaciones de la organización y los puntos de vista de sus partes interesadas.
Aunque los criterios del riesgo se deberían establecer al principio del proceso de la evaluación
Nota: Este material es una interpretación de SGS Academy con fines académicos, y no pretende superar al
estándar original.
AC-GA-I-F-01-01 11
V1 – Agosto 2017
del riesgo, éstos pueden ser cambiantes y se deberían revisarse periódicamente y de ser
necesario, se modificados.
- la naturaleza y los tipos de las incertidumbres (riesgos) que pueden afectar a los
resultados y objetivos;
- cómo se van a establecer y medir las consecuencias (tanto positivas como negativas) y la
probabilidad;
6.4.1 GENERALIDADES
El objetivo de la identificación del riesgo es reconocer y describir los riesgos que pueden
ayudar o impedir a la organización lograr sus objetivos. Para la identificación de los riesgos es
importante contar con la información pertinente y actualizada.
La organización puede utilizar diferentes técnicas para identificar incertidumbres (riesgos) que
pueden afectar a uno o varios objetivos. Se deberían tener en cuenta los siguientes aspectos:
AC-GA-I-F-01-01 12
V1 – Agosto 2017
- los indicadores de riesgos;
La organización debería identificar los riesgos, sus fuentes que estén o no bajo su control. Se
debería considerar que puede haber más de un tipo de resultado, que puede dar lugar a una
variedad de consecuencias.
El objetivo del análisis del riesgo es comprender las características y el nivel del riesgo. El
análisis del riesgo implica una consideración detallada de las fuentes de riesgo, consecuencias,
probabilidades, eventos, situaciones, controles y su eficacia. Un evento puede tener múltiples
causas y consecuencias y puede afectar a múltiples objetivos.
El análisis del riesgo se puede ejecutar con diferentes niveles de detalle, depende de la finalidad
del análisis, la disponibilidad de la información y de los recursos. Las técnicas de análisis pueden
ser cualitativas, cuantitativas o una combinación de éstas, dependiendo de las circunstancias y
del uso previsto.
El análisis del riesgo puede influenciar por opiniones, supuestos, percepciones del riesgo y
juicios de valor y la calidad de la información utilizada, las limitaciones de las técnicas
utilizadas. Estas situaciones se deberían documentar y comunicar a las personas que toman
decisiones.
Los eventos de riesgo pueden ser complejos de cuantificar. Esto puede ser una situación
importante cuando se analizan eventos con consecuencias severas.
Nota: Este material es una interpretación de SGS Academy con fines académicos, y no pretende superar al
estándar original.
AC-GA-I-F-01-01 13
V1 – Agosto 2017
El análisis del riesgo proporciona una entrada para la valoración del riesgo, para las decisiones
sobre la manera y tratamiento a implementar para abordar los riesgos. Los resultados
proporcionan una comprensión de la información para tomar decisiones, cuando se está
eligiendo entre distintas alternativas, y las opciones implican diferentes tipos y niveles de
riesgo.
Las decisiones deberían tener en cuenta un contexto más amplio y las consecuencias reales y
percibidas por las partes interesadas externas e internas.
Los resultados de la valoración del riesgo se deberían registrar, comunicar y revisar con los
distintos niveles que corresponda al interior de la organización.
6.5.1 GENERALIDADES
El objetivo del tratamiento del riesgo, es seleccionar e implementar las actividades necesarias para
abordar el riesgo.
Nota: Este material es una interpretación de SGS Academy con fines académicos, y no pretende superar al
estándar original.
AC-GA-I-F-01-01 14
V1 – Agosto 2017
La selección de las acciones más apropiadas para el tratamiento del riesgo, para esto, se
debería realizar un balance entre los beneficios potenciales generados por el logro de los
objetivos vrs. los costos o desventajas de la implementación.
- evitar el riesgo decidiendo no iniciar o continuar con la actividad que genera el riesgo;
- modificar la probabilidad;
La justificación para el tratamiento del riesgo debería tener en cuenta lo económico, las
obligaciones de la organización, los compromisos voluntarios y la percepción de las partes
interesadas. La selección de las acciones para el tratamiento del riesgo debería realizarse de
acuerdo con los objetivos de la organización, los criterios del riesgo y los recursos disponibles,
los valores, las percepciones, el involucramiento de las partes interesadas y los medios más
apropiados para comunicarse con ellas y consultarlas. Algunas partes interesadas pueden
aceptar mejor que otras, los diferentes tratamientos del riesgo.
Los tratamientos del riesgo, pueden no generar los resultados esperados y puede producir
consecuencias no previstas. La realización del seguimiento y la revisión, necesitan ser parte
integral de la implementación del tratamiento del riesgo, para asegurar que el tratamiento sea
eficaz.
El tratamiento del riesgo puede generar nuevos riesgos que requieran ser tratados.
Si por algún motivo, no se tienen disponibles acciones adicionales para el tratamiento o si las
acciones no modifican eficazmente el riesgo, ésta situación se debería registrar y mantener en
continua revisión.
Las personas que toman las decisiones y las otras partes interesadas, deberían tener conocimiento
de la naturaleza y el nivel del riesgo residual después del tratamiento del riesgo. El riesgo
residual se debería documentar y ser objeto de seguimiento, revisión y de tratamiento adicional,
si lo requiere.
Nota: Este material es una interpretación de SGS Academy con fines académicos, y no pretende superar al
estándar original.
AC-GA-I-F-01-01 15
V1 – Agosto 2017
El objetivo de las acciones de tratamiento del riesgo, es determinar la manera en la que se
implementarán las opciones elegidas para el tratamiento, asegurando que las personas
involucradas comprendan las actividades, y que se pueda realizar el seguimiento a la ejecución
de lo planificado. El plan de tratamiento debería identificar las actividades, el orden de ejecución e
implementación.
- las restricciones;
El seguimiento y la revisión deberían tener lugar en todas etapas del proceso. El seguimiento
y la revisión incluyen planificar, recopilar y analizar información, registrar resultados y
proporcionar retroalimentación.
Los resultados del seguimiento y la revisión deberían ser incluidas en todas las actividades de la
gestión del desempeño, de la medición e informar a la organización.
Las actividades de la gestión del riesgo y sus resultados, se deberían documentar e informar
a la organización, a través de los medios apropiados.
El informe pretende:
Nota: Este material es una interpretación de SGS Academy con fines académicos, y no pretende superar al
estándar original.
AC-GA-I-F-01-01 16
V1 – Agosto 2017
organización;
- apoyar la relación con las partes interesadas, incluyendo a las personas que tienen la
responsabilidad y la obligación de rendir cuentas de las actividades de la gestión del
riesgo.
Nota: Este material es una interpretación de SGS Academy con fines académicos, y no pretende superar al
estándar original.
AC-GA-I-F-01-01 17
V1 – Agosto 2017