NORMA ISO 31000:2018

Gestión del Riesgo - Directrices

Nota: Este material es una interpretación de SGS Academy con fines académicos, y no pretende superar al
estándar original.

AC-GA-I-F-01-01 1
V1 – Agosto 2017
 INTERPRETACIÓN NORMA ISO 31000:2018

INTRODUCCIÓN

Esta norma está orientada para las personas que crean y protegen el valor en las
organizaciones, mediante la gestión del riesgo, tomando decisiones, definiendo y alcanzando
los objetivos y mejorando el desempeño.

Todas las organizaciones, independiente a su tipo y tamaño, se ven expuestas a situaciones

externas e internas que generan incertidumbre en el logro de sus objetivos.

La gestión del riesgo es participativa y brinda soporte a las organizaciones, para establecer su
estrategia para lograr sus objetivos y tomar decisiones objetivas y documentadas.

La gestión del riesgo es parte fundamental de la dirección y del liderazgo para orientar a la
organización en todos sus niveles. Esto contribuye al desarrollo y mejora de los sistemas de
gestión.
La gestión del riesgo contempla los contextos externo, interno e incluye el comportamiento
humano y los factores socio culturales.

Objeto y campo de aplicación

Esta norma establece directrices para gestionar el riesgo que enfrentan las organizaciones. La
implementación de estas directrices, se adaptan a cualquier tipo de organización y a su contexto.
Se establece un enfoque común para cualquier tipo de riesgo y no es específico de una
industria o sector. Esta norma se puede implementar a lo largo de la vida de la organización,
aplicarse a todas las actividades, incluso, a la toma de decisiones.

Referencias normativas

Esta norma no contiene referencias normativas.

Términos y definiciones

Se aplican los siguientes términos y definiciones.

3.1 Riesgo

Efecto de la incertidumbre sobre los objetivos.

Nota: Un efecto es una desviación respecto a lo planeado. Puede ser positivo, negativo o
ambos, y puede abordar, crear o resultar en oportunidades y amenazas. Los objetivos pueden
tener diferentes aspectos y categorías, y se pueden aplicar a diferentes niveles.

Nota: El riesgo se manifiesta en términos de fuentes de riesgo (3.4), eventos (3.5) potenciales,
sus consecuencias (3.6) y sus probabilidades (3.7).

3.2 Gestión del riesgo

Actividades definidas para dirigir y controlar una organización con respecto al riesgo (3.1)

Nota: Este material es una interpretación de SGS Academy con fines académicos, y no pretende superar al
estándar original.

AC-GA-I-F-01-01 2
V1 – Agosto 2017
3.3 Parte interesada

Persona u organización que puede afectar, verse afectada, o percibirse como afectada por una
decisión o actividad

3.4 Fuente de riesgo

Elemento que, por sí solo o en combinación con otros, tiene el potencial de generar riesgo
(3.1)

3.5 Evento

Ocurrencia o cambio de un conjunto particular de circunstancias

Nota: Un evento puede tener más de una ocurrencias y puede tener varias causas y varias
consecuencias (3.6).

Nota: Un evento también puede ser algo previsto que no llega a ocurrir, o algo no
previsto que ocurre.

Nota: Un evento puede ser una fuente de riesgo.

3.6 Consecuencia

Resultado de un evento (3.5) que afecta a los objetivos

Nota: Una consecuencia puede ser cierta o incierta y puede tener efectos positivos o
negativos, directos o indirectos sobre los objetivos. Las consecuencias se pueden manifestar
de forma cualitativa o cuantitativa. Una consecuencia puede incrementar los efectos en
cascada y efectos acumulativos.

3.7 Probabilidad

Posibilidad de que algo suceda

3.8 Control

Medida que mantiene y/o modifica un riesgo (3.1)

Nota: Los controles incluyen, cualquier proceso, política, dispositivo, práctica, condiciones y/o
acciones que mantengan y/o modifiquen un riesgo. Los controles no siempre logran generar
el efecto de modificación planificado.

4 Principios

El propósito de la gestión del riesgo es la creación y la protección del valor. Mejora el

desempeño, fomenta la innovación y contribuye al logro de objetivos.

Los principios de la gestión del riesgo, deberían permitirle a la organización, gestionar los efectos
de la incertidumbre sobre sus objetivos.

Para lograr una eficaz gestión del riesgo, se establecen los siguientes principios.

Nota: Este material es una interpretación de SGS Academy con fines académicos, y no pretende superar al
estándar original.

AC-GA-I-F-01-01 3
V1 – Agosto 2017
 • Integrada: La gestión del riesgo es parte integral de todas las actividades de la
organización.

• Estructurada y exhaustiva: Un enfoque estructurado y exhaustivo hacia la gestión del

riesgo contribuye a resultados coherentes y comparables.

• Adaptada: El marco de referencia y el proceso de la gestión del riesgo se adaptan y

son proporcionales a los contextos externo e interno de la organización relacionados
con sus objetivos.

• Inclusiva: La participación apropiada y oportuna de las partes interesadas permite que

se consideren su conocimiento, puntos de vista y percepciones. Esto resulta en una
mayor toma de conciencia y una gestión del riesgo informada.

• Dinámica: Los riesgos pueden aparecer, cambiar o desaparecer con los cambios de
los contextos externo e interno de la organización. La gestión del riesgo anticipa,
detecta, reconoce y responde a esos cambios y eventos de una manera apropiada y
oportuna.

• Mejor información disponible: Las entradas a la gestión del riesgo se basan en

información histórica y actualizada, así como en expectativas futuras. La gestión del
riesgo tiene en cuenta explícitamente cualquier limitación e incertidumbre asociada con
tal información y expectativas. La información debería ser oportuna, clara y disponible
para las partes interesadas pertinentes.

• Factores humanos y culturales: El comportamiento humano y la cultura influyen

considerablemente en todos los aspectos de la gestión del riesgo en todos los niveles
y etapas.

• Mejora continua: La gestión del riesgo mejora continuamente mediante aprendizaje y

experiencia.

5 Marco de referencia

5.1 G ENERALIDADES

La finalidad del marco de referencia de la gestión del riesgo, es orientar a las organizaciones
para integrar la gestión del riesgo en todas sus actividades y funciones significativas. La eficacia
de esta integración depende de la alta dirección y de su toma de decisiones respecto al riesgo.

La implementación del marco de referencia implica diseñar, implementar, valorar y mejorar la

gestión del riesgo a lo largo de toda la organización.

La organización debería valorar sus actividades y procesos en la gestión del riesgo, valorar
cualquier brecha y abordarlas en el marco de referencia.

Los componentes del marco de referencia y su armonización, deberían adaptarse a las

necesidades y orientaciones de la organización.

Nota: Este material es una interpretación de SGS Academy con fines académicos, y no pretende superar al
estándar original.

AC-GA-I-F-01-01 4
V1 – Agosto 2017
5.2 L IDERAZGO Y COMPROMISO

La alta dirección debería establecer que la gestión del riesgo se implemente en todas las
actividades de la organización y evidenciar el liderazgo y compromiso:

- implementar los aspectos del marco de referencia;

- divulgar la orientación y/o la política que defina un enfoque, un plan o una directriz para
la gestión del riesgo;

- establecer los recursos necesarios para la gestión del riesgo;

- definir la autoridad, responsabilidad y obligatoriedad de rendir cuentas en los distintos

niveles de la organización;

Esto le permitirá lograr a la organización:

- orientar la gestión del riesgo con sus objetivos, estrategia y cultura organizacional;

- identificar y tener en cuenta todas las obligaciones y sus compromisos voluntarios;

- identificar la magnitud y los tipos de riesgos que puede o no ser tomados en cuenta para
orientar el desarrollo de los criterios del riesgo, asegurando que se divulgan a la
organización y a sus partes interesadas.

- divulgar la importancia de la gestión del riesgo en la organización y en sus partes

interesadas;

- realizar el seguimiento sistemático de los riesgos;

- Asegura y verificar que el marco de referencia de la gestión del riesgo se mantenga

eficazmente al contexto de la organización.

La alta dirección y los niveles de supervisión, rinden cuentas de la gestión del riesgo realizada.

Los distintos niveles de supervisión deberán realizar seguimiento periódico para:

— asegurar que los riesgos se establecen eficazmente cuando se definen los objetivos de la
organización;

— comprender los riesgos que la organización enfrenta en el logro de sus objetivos;

— asegurar que en los sistemas se implementa la gestión del riesgo y opera eficazmente;

— asegurar que los riesgos sean coherentes con el contexto de los objetivos de la organización;

— asegurar que la información sobre los riesgos y su gestión, se divulgue manera

apropiada.

5.3 I NTEGRACIÓN

Nota: Este material es una interpretación de SGS Academy con fines académicos, y no pretende superar al
estándar original.

AC-GA-I-F-01-01 5
V1 – Agosto 2017
La integración de la gestión del riesgo depende del conocimiento de la estructura y del contexto
de la organización. Las estructuras organizacionales dependen del propósito, las metas y la
complejidad de la organización. El riesgo se gestiona en todas las instancias de la estructura
de la organización. Todos los miembros de una organización tienen la responsabilidad de
gestionar el riesgo.

La alta dirección orienta el desarrollo de la organización, sus relaciones externas e internas,

las reglas, los procesos y las prácticas necesarias para alcanzar su misión. Las estructuras de
gestión convierten la orientación de la gerencia en la estrategia y los objetivos necesarios para
lograr los resultados planificados de desempeño sostenible y de viabilidad en el largo plazo.
La determinación de los roles para la rendición de cuentas y la supervisión de la gestión del
riesgo dentro de la organización son partes integrales de la alta dirección.

La integración de la gestión del riesgo en la organización es una actividad dinámica e

interactiva, y se debería adaptar a las necesidades y la cultura de la organización. La gestión del
riesgo debería estar alineada al propósito de la organización, de la alta dirección, al liderazgo y
compromiso, a la estrategia, los objetivos y las operaciones de la organización.

5.4 D ISEÑO

5.4.1 COMPRENSIÓN DE LA ORGANIZACIÓN Y DE SU CONTEXTO

La organización debería analizar y comprender sus contextos externo e interno para el diseño del
marco de referencia para gestionar el riesgo.

El análisis del contexto externo de la organización puede incluir y no limitarse a:

- los factores sociales, culturales, políticos, legales, reglamentarios, financieros,

tecnológicos, económicos y ambientales ya sea a nivel internacional, nacional, regional
o local;

- las situaciones clave y las tendencias que pueden afectar los objetivos de la
organización;

- las relaciones, percepciones, valores, necesidades y expectativas de las partes

interesadas externas;

- las relaciones contractuales y los compromisos adquiridos, entre otras.

El análisis del contexto interno de la organización puede incluir y no limitarse a:

- la misión, la visión y los valores;

- la alta dirección, la estructura de la organización, los roles, las responsabilidades y la

rendición de cuentas;

- las políticas, la estrategia y los objetivos;

- la cultura de la organización;

- las normas, las directrices y los modelos adoptados por la organización;

Nota: Este material es una interpretación de SGS Academy con fines académicos, y no pretende superar al
estándar original.

AC-GA-I-F-01-01 6
V1 – Agosto 2017
 - las capacidades, los recursos y conocimientos (por ejemplo, capital, tiempo, personas,
propiedad intelectual, procesos, sistemas y tecnologías);

- los datos, los sistemas de información y el flujo de la información;

- las relaciones con las partes interesadas internas, teniendo en cuenta sus percepciones
y valores;

- los compromisos contractuales y otros compromisos;

- las relaciones entre las distintas instancias de la organización.

5.4.2 ARTICULACIÓN DEL COMPROMISO CON LA GESTIÓN DEL RIESGO

La alta dirección y los niveles de supervisión, deberían demostrar su compromiso continuo con
la gestión del riesgo mediante una política, una declaración u otras formas que expresen
claramente los objetivos y el compromiso de la organización con la gestión del riesgo.

El compromiso debería incluir, entre otros aspectos:

- la finalidad de la organización para gestionar el riesgo y la relación con sus objetivos

y otras políticas;

- divulgar e integrar la gestión del riesgo en la cultura de la organización;

- liderar la integración de la gestión del riesgo en todas las actividades del negocio y en
la toma de decisiones;

- establecer la obligatoriedad, las autoridades y las responsabilidades de rendir cuentas;

- establecer la disponibilidad de los recursos necesarios;

- definir las actividades para el manejo de los objetivos en discusión;

- la medición y la información como parte de los indicadores de desempeño de la

organización;

- la revisión y la mejora.

El compromiso con la gestión del riesgo, se debería comunicar interna, externamente; y a las
partes interesadas de manera eficaz.

5.4.3 ASIGNACIÓN DE ROLES, AUTORIDADES, RESPONSABILIDADES Y OBLIGACIÓN DE

RENDIR CUENTAS EN LA ORGANIZACIÓN

La alta dirección y los niveles de supervisión, deberían asegurarse que las autoridades, las
responsabilidades y la obligación de rendir cuentas con respecto a la gestión del riesgo, se
asignen y comuniquen a todos los niveles de la organización y deberían:

- precisar que la gestión del riesgo es una responsabilidad fundamental;

Nota: Este material es una interpretación de SGS Academy con fines académicos, y no pretende superar al
estándar original.

AC-GA-I-F-01-01 7
V1 – Agosto 2017
 - establecer las personas que tienen asignada la responsabilidad de rendir cuentas y la
autoridad para gestionar el riesgo (dueños del riesgo).

5.4.4 ASIGNACIÓN DE RECURSOS

La alta dirección y los niveles de supervisión, deberían asegurar la asignación de los recursos
para la gestión del riesgo, que pueden incluir:

- las personas, las habilidades, la experiencia y las competencias;

- los procesos, los métodos y las herramientas asignadas para gestionar el riesgo;

- los procesos y procedimientos documentados;

- los sistemas de gestión de la información y del conocimiento;

- el desarrollo profesional y las necesidades de formación.

La organización debería identificar las competencias y limitaciones de los recursos existentes.

5.4.5 ESTABLECIMIENTO DE LA COMUNICACIÓN Y LA CONSULTA

La organización debería establecer las actividades necesarias para gestionar la relación entre la
comunicación y la consulta, para apoyar el marco de referencia y facilitar la aplicación eficaz
de la gestión del riesgo. La comunicación implica compartir información con las partes
interesadas. La consulta implica que los participantes faciliten la retroalimentación para que
contribuya a las decisiones u otras actividades. Los métodos y el contenido de la comunicación
y la consulta deberían reflejar las expectativas de las partes interesadas, cuando sea pertinente.

La comunicación y la consulta deberían ser oportunas y asegurar que se recopile, consolide,

sintetice y comparta la información pertinente y que se proporcione retroalimentación y se lleven
a cabo mejoras.

5.5 I MPLEMENTACIÓN

La organización debería implementar el marco de referencia de la gestión del riesgo mediante:

- La definición de un plan, que incluya plazos y recursos;

- la identificación de dónde, cuándo, cómo y quién toma diferentes tipos de decisiones

en toda la organización;

- la modificación de los procesos para la toma de decisiones,

- asegurar que las decisiones de la organización para gestionar el riesgo, son

claramente comprendidas y puestas en práctica.

La implementación del marco de referencia requiere el compromiso y la toma de conciencia

de las partes interesadas. Esto permite a las organizaciones analizar la incertidumbre en la toma
de decisiones, al tiempo que asegura que cualquier incertidumbre nueva o subsiguiente se

Nota: Este material es una interpretación de SGS Academy con fines académicos, y no pretende superar al
estándar original.

AC-GA-I-F-01-01 8
V1 – Agosto 2017
pueda tener en cuenta cuando surja.

El marco de referencia de la gestión del riesgo asegura, que sea parte de todas actividades
en toda la organización, incluyendo la toma de decisiones, y que los cambios en los contextos
externo e interno se identifican de manera eficaz.

5.6 V ALORACIÓN

Para evaluar la eficacia del marco de referencia de la gestión del riesgo, la organización
debería:

- evaluar periódicamente el desempeño de la gestión del riesgo con relación a su

propósito, sus planes para la implementación, sus indicadores y el comportamiento
esperado;

- determinar si se mantiene el desempeño de la gestión, para apoyar el logro de los

objetivos de la organización.

5.7 M EJORA

5.7.1 ADAPTACIÓN

La organización debería realizar el seguimiento continuo y adaptar el marco de referencia de

la gestión del riesgo, de acuerdo a los cambios externos e internos. Al desarrollar esta actividad,
la organización puede mejorar su desempeño.

5.7.2 MEJORA CONTINUA

La organización debería mejorar continuamente la idoneidad, adecuación y eficacia del marco

de referencia de la gestión del riesgo y la manera en la que se integra el proceso de la gestión
del riesgo.

Cuando se identifiquen brechas u oportunidades de mejora, la organización debería

implementar planes, actividades y asignar a responsabilidad a quien tenga que rendir cuentas
de sus resultados. Una vez implementadas, estas mejoras deberían contribuir al fortalecimiento
de la gestión del riesgo.

6 Proceso

6.1 G ENERALIDADES

Las actividades para la gestión del riesgo implican la implementación sistemática de políticas,
procedimientos y prácticas a las actividades de comunicación y consulta, establecimiento del
contexto y evaluación, tratamiento, seguimiento, revisión, registro e informe del riesgo.

Las actividades de la gestión del riesgo deberían ser parte integral de la gestión y de la toma de
decisiones, se debería integrar a la estructura, a las operaciones y a los procesos de la
organización. Estas actividades se pueden aplicar a nivel estratégico, operacional, a programas y
proyectos.

Se pueden aplicar las actividades de la gestión del riesgo al interior de la organización, a los

Nota: Este material es una interpretación de SGS Academy con fines académicos, y no pretende superar al
estándar original.

AC-GA-I-F-01-01 9
V1 – Agosto 2017
objetivos y a los contextos externo e interno.

A lo largo del proceso de la gestión del riesgo se debería considerar la naturaleza dinámica y
variable del comportamiento humano y de la cultura.

Las actividades de la gestión del riesgo se presentan de manera secuencial, y en la práctica es

interactivo.

6.2 C OMUNICACIÓN Y CONSULTA

La finalidad de la comunicación y consulta, es asegurar que las partes interesadas comprendan el

riesgo, las actividades con las que se toman decisiones y las razones por las que son
necesarias tomar acciones específicas. La comunicación promueve la toma de conciencia y la
comprensión del riesgo, mientras que la consulta implica obtener retroalimentación e
información para apoyar la toma de decisiones. Una coordinación cercana entre ambas
debería facilitar un intercambio de información basado en hechos, oportuno, pertinente, exacto
y comprensible, teniendo en cuenta la confidencialidad e integridad de la información, así como
el derecho a la privacidad de las personas.

La comunicación y consulta con las partes interesadas externas e internas, se debería realizar
en todas y cada una de las etapas del proceso de la gestión del riesgo.

La comunicación y consulta pretende:

- reunir diferentes áreas para cada etapa del proceso de la gestión del riesgo;

- asegurar que se toma en cuenta, los diferentes puntos de vista cuando se definen los
criterios del riesgo y cuando se valoran los riesgos;

- entregar la información necesaria para facilitar el seguimiento del riesgo y la toma de

decisiones;

- desarrollar un sentido de inclusión entre las personas afectadas por el riesgo.

6.3 A LCANCE , CONTEXTO Y CRITERIOS

6.3.1 GENERALIDADES

El objetivo de establecer el alcance, el contexto y los criterios, es implementar el proceso de la

gestión del riesgo, para lograr una evaluación y un tratamiento eficaz del riesgo. El alcance, el
contexto y los criterios implican definir el alcance del proceso, y comprender los contextos
externo e interno.

6.3.2 DEFINICIÓN DEL ALCANCE

La organización debería definir el alcance de sus actividades de gestión del riesgo.

El proceso de la gestión del riesgo se puede aplicarse a niveles distintos (por ejemplo:
estratégico, operacional, de programa, de proyecto u otras actividades), es fundamental definir
el alcance, teniendo en cuenta, los objetivos de la gestión y su alineamiento con los objetivos
de la organización.

Nota: Este material es una interpretación de SGS Academy con fines académicos, y no pretende superar al
estándar original.

AC-GA-I-F-01-01 10
V1 – Agosto 2017
En la planificación del alcance, debería tener en cuenta:

- los objetivos y las decisiones que se requieren tomar;

- los resultados esperados de la gestión del riesgo;

- los tiempos, la ubicación de los riesgos, las inclusiones y las exclusiones definidas;

- las metodologías y las técnicas utilizadas para la evaluación del riesgo;

- los recursos necesarios, las responsabilidades definidas y los registros a mantener;

- las relaciones establecidas con otros proyectos, procesos y actividades.

6.3.3 CONTEXTOS EXTERNO E INTERNO

Los contextos externo e interno son el entorno en el cual la organización ejecuta sus
actividades para definir y lograr sus objetivos.

El contexto del proceso de la gestión del riesgo se debería establecer a partir de la comprensión
de los entornos externo e interno en los cuales opera la organización y debería evidenciar el
entorno específico de la actividad, en la cual se implementará la gestión del riesgo.

La comprensión del contexto es importante porque:

- la gestión del riesgo se desarrolla en el contexto de los objetivos y las actividades de la

organización;

- los aspectos organizacionales pueden ser una fuente generadora de riesgo;

- el propósito y alcance del proceso de la gestión del riesgo puede estar interrelacionado
con los objetivos de la organización como un todo;

La organización debería establecer los contextos externo e interno del proceso de la gestión
del riesgo considerando los factores mencionados en 5.4.1.

6.3.4 DEFINICIÓN DE LOS CRITERIOS DEL RIESGO

La organización debería definir la cantidad y el tipo de riesgo que puede o no puede asumir,
con relación a los objetivos. También debería definir los criterios para evaluar la importancia
del riesgo y para apoyar la toma de decisiones. Los criterios del riesgo se deberían relacionar
con el marco de referencia de la gestión del riesgo y adaptarlos al propósito y alcance de la
actividad considerada. Los criterios del riesgo deberían evidenciar los valores, objetivos y
recursos de la organización y ser coherentes con las políticas y declaraciones acerca de la
gestión del riesgo. Los criterios del riesgo, se deberían determinar teniendo en cuenta las
obligaciones de la organización y los puntos de vista de sus partes interesadas.

Aunque los criterios del riesgo se deberían establecer al principio del proceso de la evaluación

Nota: Este material es una interpretación de SGS Academy con fines académicos, y no pretende superar al
estándar original.

AC-GA-I-F-01-01 11
V1 – Agosto 2017
del riesgo, éstos pueden ser cambiantes y se deberían revisarse periódicamente y de ser
necesario, se modificados.

Para establecer los criterios del riesgo, se debería tener en cuenta:

- la naturaleza y los tipos de las incertidumbres (riesgos) que pueden afectar a los
resultados y objetivos;

- cómo se van a establecer y medir las consecuencias (tanto positivas como negativas) y la
probabilidad;

- los aspectos relacionados con el tiempo;

- la pertinencia en el uso de las mediciones;

- cómo se va a establecer el nivel de riesgo;

- cómo se tendrán en cuenta las relaciones y las secuencias de múltiples riesgos;

- la capacidad de la organización para la gestión.

6.4 E VALUACIÓN DEL RIESGO

6.4.1 GENERALIDADES

La evaluación del riesgo es el proceso global de su identificación, análisis y valoración del

riesgo.

La evaluación del riesgo se debería llevar a cabo de manera sistemática, interactiva y

colaborativa, basándose en el conocimiento y los puntos de vista de las partes interesadas.
Se debería definir y utilizar la información disponible para su evaluación.

6.4.2 IDENTIFICACIÓN DEL RIESGO

El objetivo de la identificación del riesgo es reconocer y describir los riesgos que pueden
ayudar o impedir a la organización lograr sus objetivos. Para la identificación de los riesgos es
importante contar con la información pertinente y actualizada.

La organización puede utilizar diferentes técnicas para identificar incertidumbres (riesgos) que
pueden afectar a uno o varios objetivos. Se deberían tener en cuenta los siguientes aspectos:

- las fuentes de riesgo;

- las causas y los eventos,

- las amenazas y las oportunidades;

- las vulnerabilidades y las capacidades;

- los cambios en los contextos externo e interno;

Nota: Este material es una interpretación de SGS Academy con fines académicos, y no pretende superar al
estándar original.

AC-GA-I-F-01-01 12
V1 – Agosto 2017
 - los indicadores de riesgos;

- la naturaleza y el valor de los activos y los recursos;

- las consecuencias y sus impactos en los objetivos;

- las limitaciones de conocimiento y la confiabilidad de la información;

- los factores relacionados con el tiempo;

- los prejuicios, los supuestos y las creencias de las personas involucradas.

La organización debería identificar los riesgos, sus fuentes que estén o no bajo su control. Se
debería considerar que puede haber más de un tipo de resultado, que puede dar lugar a una
variedad de consecuencias.

6.4.3 ANÁLISIS DEL RIESGO

El objetivo del análisis del riesgo es comprender las características y el nivel del riesgo. El
análisis del riesgo implica una consideración detallada de las fuentes de riesgo, consecuencias,
probabilidades, eventos, situaciones, controles y su eficacia. Un evento puede tener múltiples
causas y consecuencias y puede afectar a múltiples objetivos.

El análisis del riesgo se puede ejecutar con diferentes niveles de detalle, depende de la finalidad
del análisis, la disponibilidad de la información y de los recursos. Las técnicas de análisis pueden
ser cualitativas, cuantitativas o una combinación de éstas, dependiendo de las circunstancias y
del uso previsto.

El análisis del riesgo debería tener en cuenta:

- la probabilidad de los eventos y de las consecuencias;

- la naturaleza y la magnitud de las consecuencias;

- la complejidad y las múltiples relaciones;

- los factores relacionados con el tiempo y la variabilidad de las situaciones;

- la eficacia de los controles existentes;

- los niveles de percepción y confiabilidad.

El análisis del riesgo puede influenciar por opiniones, supuestos, percepciones del riesgo y
juicios de valor y la calidad de la información utilizada, las limitaciones de las técnicas
utilizadas. Estas situaciones se deberían documentar y comunicar a las personas que toman
decisiones.

Los eventos de riesgo pueden ser complejos de cuantificar. Esto puede ser una situación
importante cuando se analizan eventos con consecuencias severas.

Nota: Este material es una interpretación de SGS Academy con fines académicos, y no pretende superar al
estándar original.

AC-GA-I-F-01-01 13
V1 – Agosto 2017
El análisis del riesgo proporciona una entrada para la valoración del riesgo, para las decisiones
sobre la manera y tratamiento a implementar para abordar los riesgos. Los resultados
proporcionan una comprensión de la información para tomar decisiones, cuando se está
eligiendo entre distintas alternativas, y las opciones implican diferentes tipos y niveles de
riesgo.

6.4.4 VALORACIÓN DEL RIESGO

El objetivo de la valoración del riesgo es proporcionar información para la toma de decisiones.

La valoración del riesgo implica comparar los resultados del análisis del riesgo con los criterios
del riesgo establecidos para determinar, cuándo se requiere una acción adicional.

Esto puede establecer una decisión respecto a:

- no tomar acciones adicionales;

- considerar opciones para el tratamiento del riesgo;

- realizar un análisis adicional para comprender mejor el riesgo;

- mantener los controles existentes;

- evaluar los objetivos.

Las decisiones deberían tener en cuenta un contexto más amplio y las consecuencias reales y
percibidas por las partes interesadas externas e internas.

Los resultados de la valoración del riesgo se deberían registrar, comunicar y revisar con los
distintos niveles que corresponda al interior de la organización.

6.5 T RATAMIENTO DEL RIESGO

6.5.1 GENERALIDADES

El objetivo del tratamiento del riesgo, es seleccionar e implementar las actividades necesarias para

abordar el riesgo.

El tratamiento del riesgo implica:

- formular y seleccionar planes y/o actividades para el tratamiento del riesgo;

- planificar e implementar el tratamiento del riesgo;

- evaluar la eficacia del tratamiento implementado;

- decidir si el riesgo residual es aceptable;

- si no es aceptable, efectuar tratamiento adicional.

6.5.2 SELECCIÓN DE LAS OPCIONES PARA EL TRATAMIENTO DEL RIESGO

Nota: Este material es una interpretación de SGS Academy con fines académicos, y no pretende superar al
estándar original.

AC-GA-I-F-01-01 14
V1 – Agosto 2017
La selección de las acciones más apropiadas para el tratamiento del riesgo, para esto, se
debería realizar un balance entre los beneficios potenciales generados por el logro de los
objetivos vrs. los costos o desventajas de la implementación.

Las acciones de tratamiento del riesgo no son necesariamente excluyentes o adecuadas en

todas las circunstancias.

Las acciones para tratar el riesgo pueden tener relación con:

- evitar el riesgo decidiendo no iniciar o continuar con la actividad que genera el riesgo;

- aceptar o aumentar el riesgo en busca de una oportunidad;

- eliminar la fuente de riesgo;

- modificar la probabilidad;

- modificar las consecuencias;

- compartir el riesgo (por ejemplo: a través de contratos, compra de seguros);

- retener el riesgo, de acuerdo a una decisión informada.

La justificación para el tratamiento del riesgo debería tener en cuenta lo económico, las
obligaciones de la organización, los compromisos voluntarios y la percepción de las partes
interesadas. La selección de las acciones para el tratamiento del riesgo debería realizarse de
acuerdo con los objetivos de la organización, los criterios del riesgo y los recursos disponibles,
los valores, las percepciones, el involucramiento de las partes interesadas y los medios más
apropiados para comunicarse con ellas y consultarlas. Algunas partes interesadas pueden
aceptar mejor que otras, los diferentes tratamientos del riesgo.

Los tratamientos del riesgo, pueden no generar los resultados esperados y puede producir
consecuencias no previstas. La realización del seguimiento y la revisión, necesitan ser parte
integral de la implementación del tratamiento del riesgo, para asegurar que el tratamiento sea
eficaz.

El tratamiento del riesgo puede generar nuevos riesgos que requieran ser tratados.

Si por algún motivo, no se tienen disponibles acciones adicionales para el tratamiento o si las
acciones no modifican eficazmente el riesgo, ésta situación se debería registrar y mantener en
continua revisión.

Las personas que toman las decisiones y las otras partes interesadas, deberían tener conocimiento
de la naturaleza y el nivel del riesgo residual después del tratamiento del riesgo. El riesgo
residual se debería documentar y ser objeto de seguimiento, revisión y de tratamiento adicional,
si lo requiere.

6.5.3 PREPARACIÓN E IMPLEMENTACIÓN DE LOS PLANES DE TRATAMIENTO DEL RIESGO

Nota: Este material es una interpretación de SGS Academy con fines académicos, y no pretende superar al
estándar original.

AC-GA-I-F-01-01 15
V1 – Agosto 2017
El objetivo de las acciones de tratamiento del riesgo, es determinar la manera en la que se
implementarán las opciones elegidas para el tratamiento, asegurando que las personas
involucradas comprendan las actividades, y que se pueda realizar el seguimiento a la ejecución
de lo planificado. El plan de tratamiento debería identificar las actividades, el orden de ejecución e
implementación.

Las acciones de tratamiento deberían integrarse en los planes y procesos de la gestión de la

organización, en consulta con las partes interesadas definidas.

La información definida en el plan del tratamiento debería incluir:

- la justificación de la selección de las acciones para el tratamiento, incluyendo los

beneficios esperados;

- las personas que rinden cuentas y aquellas responsables de la aprobación e

implementación del plan;

- las acciones propuestas;

- los recursos necesarios, incluyendo las contingencias;

- las medidas del desempeño;

- las restricciones;

- los informes y seguimiento requeridos;

- los plazos previstos para la realización y la finalización de las acciones.

6.6 S EGUIMIENTO Y REVISIÓN

El objetivo del seguimiento y la revisión es asegurar la eficacia del diseño, la implementación

y los resultados del proceso. El seguimiento y la revisión continua del proceso de la gestión
del riesgo y sus resultados, debería ser una parte planificada del proceso de la gestión del
riesgo, con responsabilidades definidas.

El seguimiento y la revisión deberían tener lugar en todas etapas del proceso. El seguimiento
y la revisión incluyen planificar, recopilar y analizar información, registrar resultados y
proporcionar retroalimentación.

Los resultados del seguimiento y la revisión deberían ser incluidas en todas las actividades de la
gestión del desempeño, de la medición e informar a la organización.

6.7 R EGISTRO E INFORME

Las actividades de la gestión del riesgo y sus resultados, se deberían documentar e informar
a la organización, a través de los medios apropiados.

El informe pretende:

- comunicar las actividades de la gestión del riesgo y sus resultados a lo largo de la

Nota: Este material es una interpretación de SGS Academy con fines académicos, y no pretende superar al
estándar original.

AC-GA-I-F-01-01 16
V1 – Agosto 2017
 organización;

- proporcionar información para la toma de decisiones;

- mejorar las actividades de la gestión del riesgo;

- apoyar la relación con las partes interesadas, incluyendo a las personas que tienen la
responsabilidad y la obligación de rendir cuentas de las actividades de la gestión del
riesgo.

Las decisiones con respecto a la creación, conservación y tratamiento de la información

documentada deberían tener en cuenta, las características de la información y los contextos
externo e interno.

El informe es parte integral de la dirección de la organización y debería mejorar la relación con

las partes interesadas, y apoyar a la alta dirección y a los niveles de supervisión a cumplir sus
responsabilidades.

Los aspectos a tener en cuenta en el informe incluyen:

- las diferentes partes interesadas, sus necesidades y requisitos específicos de

información;

- el costo, la frecuencia y los tiempos del informe;

- el método del informe;

- la pertinencia de la información con respecto a los objetivos de la organización y la

toma de decisiones.

Nota: Este material es una interpretación de SGS Academy con fines académicos, y no pretende superar al
estándar original.

AC-GA-I-F-01-01 17
V1 – Agosto 2017