z

-2

Julio 2010 3
~ u u u l Gesti6u
! del~ riesgo

Priucipios y directrices

Risk ,rmnogen)e,a.Pritlciples nrrdg,~ideIines.

0-
!i
Esta tiosma es idetitica a la Nol.liia hitetnacional I S 0 3 1000:2009.
y

i
:
l7J
Ed~tadae llnpresa por AENOR LAS OBSERVACIONES AESTE DOCUMENTO HAN DE DIRIGlRSE A 4'

i
Dep6srto legal M34496 2010
AE NOR Asociatidn Espafiola de
Normallzatidn y Cenificatidn
30 Pigmas

0 AENOR 2010
Reprodacci6n prohibida I G6nova, 6
28004 MADRID-EspaRa
infoaaen0r.e~
wv.aenor.es
Tel.: 902 102201
Fan: 913 104 032 I Gru~O
l9 0:
0
z
W
'?
AENOR

Pdgina

1 OBJETO Y CAMP0 DE APLICACION ....................................... .. . . . . . . . . . .. 8

2 TERMINOS Y DEFINICIONES .............................................. . 8

MARC0 DE TRABAJO .............. .

.......................................... 15
Generalidades ........................................................................ 15
Mandato y cnti~pron~iso ...................................................................... 16
DiseiIo del marco de trabajo de la gesti6n del riesgo ...........................................
16
Comprensi611de la organizaci611y de sit contexto ............ . ..................
16
Establecirniento de la politica de gesti6a del riesgo ...................................
17
Obligaci6n de rendir cuentas ...........................................................17
Integraci6n en 10s procesos de la organizaci6n ...............................
17
Recersos ...........
.............. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
18
Establecimiento de 10s mecanis~i~os internos de co111unicaci6ny de informaci6n 18 .............
i ~ o s de comunicaci6i1 y de inforn1aci611.............18
Establecimiento de 10s n ~ e c a ~ l i s ~externos
Implementaci6n de la gestibn del riesgo ............................ . . 19
1111ples1entaci6ndel niarco de trabajo de la gesti6n del riesgo ....................
19 ... ........ .
Iniplea1entaci6n del proceso de gestibn del riesgo ................................. 19 .................
Seguirniento y revisi6n del niarco de trabajo .............
.....................................
19
Mejora continua del lllarco de trabajo ..........................................................
19

.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
PROCESO ......................................
Generalidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ... . .20 ................
Coli~unicacibny cons~ilta.................... . . ................................. 20
Establecitiiiento del contexto ............................................................ . 21
Generalidades ...........................................................................................................21
Establecitiiiento del contexto externo ................................................................. 21
Establecimiento del contexto interno ................................................. . 22
Establecimietlto del contexto del proceso de gesti6n del riesgo ............................... . ~ .
22
Definici6n de 10s criterios de riesgo ....................................................23
Apreciac~on, .del riesgo .............................. .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .23
Generalidades ....................
..............
.............................................23
Identificaci6n del riesgo ....................................................................... 23
Andlisis del riesgo .................................................................... 24
Evalnaci6n del riesgo ...............................................................................................24
Tratamiento del riesgo ...............................................................25
Generalidades ................................................................... 25
Selecci6n de npciones de trataniiento del riesgo ............................................ 25
.,
Preparaci6n e implementaci6n de 10s planes de tratamiento del riesgo .............................
26
.. . . . . . . . . . . . . . . . . . . . . . . . . . . .
Seguimiento y revislon ....................................... 26
. .
Registrn del proceso de gesti6n del riesgo ................................................... 27

ANEXO A (Informative) ATRIBUTOS DE UNA GESTION DELRLESGO OPTIMIZADA .......28

 AENOR
i

I S 0 (Organizaci6n Intemacional de Nonnalizaci6n) es uua federaci61i niundial de organismos nacionales

de nornializaci611(organismos miernbros de ISO). El trabajo de preparacih de las nonnas internacionales
nornialmente se realiza a travis de 10s comitis ticnicos de ISO. Cada organistilo mietnbro interesado en
una materia para la cual se liaya establecido un coniiti ticnico, tiene el dereclio de estar representado en
diclio comit6. Las organizaciones internacionales, p6blicas y privadas, en coordinaci6n con ISO, tariibi611
participan en el trabajo. IS0 colabora estrechamente con la Coniisi6n Electroticnica Inte~l~acional (EC)
en todas las materias de eormalizaci6n electrot6cnica.

Las normas ititemacionales se redactaa de acuerdo con las reglas establecidas en la Parte 2 de las Dkectivas
ISOAEC.

La tarea principal de 10s comitis tict~icoses preparar nonilas inten~adonales.Los propectos de nounas
intemacionales adoptados por 10s cotnitis ticnicos se envian a 10s organismos mielnbros para votaci6n.
La pu1blicaci61icomo iiornla intelnacional reqniere la aprobacion por al rnenos el 75% de 10s organistnos
miembros que emitell voto.

Se llatna la atenci6n sobre la posibilidad de que algunos de 10s elementos de este documento puedan estar
sujetos a derecbos de patente. IS0 no asume la responsabilidad por la identificaci6n de cnalqniera o todos
10s derecl~osde patente.

La Norma I S 0 31000 file preparada por el g~upode trabajo del Consejo de Gesti6n Ticnica de I S 0
(ISORMB) sobre gestion del riesgo.
 AENOR
i

Organizaciones de todos 10s tipos y tatuaiios se enfrentan a factores e infloencias internas y externas qiie hacen incierto
saber si y cnando coiiseguirin sus objetivos. La incidencia que esta incertidumbre tiene sobre la consecuci61i de 10s
objetivos de una organizaci6n constituye el "riesgo".

Todas las actividades de utla organizaci6n implican riesgos. Las organizaciones gestionan el riesgo ide~itificiindolo,
ai~aliziiudolop evaluando despu6s si el riesgo se debe~iarnodificar mediante un trata~nientoque satisfaga sus cdterios de
riesgo. A lo largo de todo este proceso, las organizaciones comu~licany consultan a las partes interesadas y realizaii
seguimiento 3, revisan el riesgo y 10s controles qne lo inoditican para asegurar que no es tiecesario mn tratamiento adicional
del riesgo.

Mieiitras todas las organizaciones gestionan el riesgo a diferentes niveles, esta nortila internacional establece tuia serie
de prhlcipios qne se deben satisfacer para que la gestihi del riesgo sea eficaz. Esta noniia intenlacional recomieilda qile
las organizaciones desarrollen, inlpletnenten y mejoren de tiianera conti~iuadaun niarco de trabajo cnpo objetivo sea
integrar el proceso de gestic511 del riesgo en 10s procesos de gobierno, de esh'ategia y de planificacion, de gestibn, y de
elaboraci6n de inforn~es,asi como en las politicas, 10s valores y e n la cultnra de toda la organization.
i
La gesti6n del riesgo se puede aplicar a la totalidad de eia organizaci6ti, a todas ws ireas y niveles principales, en todo
moniento, asi como alas fi~nciones,10s proyectos y las actividades especificas.

Auuqne la priictica de la gesti6n del riesgo se ha desarrollado a lo largo del tienlpo y en iiuluerosos sectores con objeto de
satisfacer diversas tlecesidades, la adopci6n de placesos col~eret~tes dentro de tm marco de trabajo esl~aastivopuede
coilhibnir a asegurar qite el riesgo se gestiona de una nianera eficaz, eficiente coherente en el sen0 de la orgailizaci6n. El
enfoque geriCrico qoe se describe en esta notxila intemaciotial pmporciona 10s principios y las directrices para gestionar
cualqnier forma de riesgo de una manera sistetiiitica, transparelite y fiable, dentro de cnalqitier alcance y de cualqnier
contesto.

Cada sector o aplicaci6n especificos de gesti6n del riesgo hiiplica necesidades, audiencias, percepciones y criterios indi-
viduales. Por ello, uno de los put~tosclave de esta nonna inteniaciotial consiste en la it1clnsi6n del "establecuniento del
contesto" conio una actividad al coniienzo de este proceso de gesti6n del riesgo genMco. El establecimiento del contesto
pemmitiid captar 10s objetivos de la organizaci6n, el entolno en el que se persigueri estos objetivos, las paifes interesadas y la
diversidad de 10s criterios de riesgo. Todos estos ele~nentoscontribuirin a revelar y evaluar la tlahkraleza y complejidad de
sus riesgos.

La figura 1 muestra las relaciones erihe 10s principios para gestionar el riesgo, el tiiarco de trabajo en el qoe se produce y el
I
proceso de gesti6n del riesgo que se describe en esta noma intemaciotial.

La gesti61i del riesgo, cnattdo se itnplat~tay mantiene de acnerdo con esta nortila inte~~~acional,
pertnite a una osga1iizaci611,
por ejeniplo:

- aitnielltar la probabilidad de alcanzar 10s objetivos;

- estinililar una gesti6n proactiva;
- ser consciente de la necesidad de idetltificar y tratar el riesgo en toda la orgaiiizaci6n;

- mejorar la identificacion de oportutiidades y de amenazas;

- cutiiplir 10s requisites legales y regla~llentariospertinentes y las normas intertiacionales;
- tnejorar la redacci6n de infonnes obligatorios ~rvolu~~tarios;
- tnejorar el gobierno;
- mejorar la seguridad y la cotlfianza de las paltes interesadas;
 AENOR
i

- establecer nna base fiable para la toma de decisiones y la planificaci611;

- mejorar 10s cotitroles;
- asignar y otilizar de manera eficaz 10s recursos para el tratamiento del riesgo;

- mejorar la eficacia y la eficiencia operational;

- aumetitar las prestaciones en materia de salud y seguridad, asi coriio la protecci6n ambiental;

- mejorar la preve11ci611de perdidas y la gestic511de incidetites;

- ~ninitnizarlas pkrdidas;

- mejorar el aprendizaje de la organizaci6n; y

- mejorar la resiliencia de la organizaci611. \

Esta tloniia intemacional esti prevista para satisfacer las necesidades de uua gran diversidad de partes interesadas
italuyendo:

a) las personas responsables de desarrollar la politica de gesti6n del riesgo dentro de su orgartizaci611;

b) las personas encargadas de asegiuar qi~eel riesgo se gestiona de manera eficaz de11h.o de la organizaci611, considerada
en sit totalidad o en un irea, 11x1proyecto o utia actividad especificos;

c ) las personas q ~ necesitan

~e evali~arla eficacia de ilna organizaci611en materia de gesti611 del riesgo; y

d) tas personas que desa~rollannonnas, girias, procedi~nientosy c6digos de buenas pricticas que, en sit totalidad o en
parte, establecen c6mo se debe tratar el riesgo dentro del context0 especifico de estos documentos.

Las pricticas y 10s procesos de gestibn actoales de mirchas organizaciones incliryen componetites de gesti6n del tiesgo,
y tniichas organizaciones ya hati adoptado nn proceso fo~~nal'degesti6n del riesgo para tipos particufares de riesgos o de
circot~staucias.En tales casos, utta organizaci6n pirede decidir llevar a cabo m1a revisi6n critica de sits pricticas J.
procesos existentes a la vista de esta norilia iiiternaciot~al.

En esta nomia inteniacional, se ntilizan las dos espresiones "gesti611del riesgo" y "gestiottar el riesgo". En t61liGtlos genera- t
les, "gesti611del riesgo" se refiere ir la axq~titectura(prir~cipios,mnarco de twbajo y proceso) para gestionw 10s ~iesgosde
manera eficaz, mientras que "gestionar el riesgo" se refiere a la aplicaci6n de esta arquitectura a 10sriesgos paticulaxes.
 oSsa!.r lap ng!$sa8 ap o s a ~ o . ~[adX oreqe~)ap oJ.Ieu1 [a 'so!d!~u!.tdsol aqua saoo!Jelaa - 1eanS!a

k2:
0
5cJ

600Z:OOOIE OSI
>
111
Y
 AENOR
i

1 OBJETO Y C A M P 0 DE APLICACION
Esta tlonna inte~nacionalproporciona 10s principios p las directrices geniricas sobre la gesti611 del riesgo.

Esta tlomla inten~acionalpuede utilizarse por cualquier empresa pilblica, privada o social, asociaci611, gtupo o individuo. Por
tanto, esta nolma internacional no es especifica de ulia industria o sector concrete.
NOTA Por comodidad, todos 10s difereutes llsuarios de esta nonna intenlacicnlal se citml COIL el tCnnino general de "organiacibn".

Esta nollna ulten~acionalse puede aplicar a lo largo de toda la vida de tuia orga~uzaci$~, y a uoa a~iipliagallla de activida-
des, ulcltiye~endoestrategias y decisiones, ope~acioties,procesos, furicioties, propectos, productos, servicios p activos.

Esta nolma intemacio~~al se puede aplicar a cualqtiier tip0 de riesgo, cualqt~iemque sea su naturaleza, y tatito si sus colise-
cuelicias so11positivas o negativas.

Aunque esta nomia intemacional propomiona directrices gen6ricas, no tiene como objetivo promover la uniformidad en la
gesti611 del riesgo en el sen0 de las orga~uzaciones.El disefio y la impleme1itaci6nde plaries p liiarcos de trabajo de gesti6n
del riesgo necesitarin teller en cllenta las diversas tlecesidades de una organizaci6n especifica, sus objetivos pa~liculares,su
cantexto, su estlllchira, stls ope~aciones,sus procesos, sus funciones, sits propectos, sus productos, sus servicios, o sus
activos y p1;icticas especificas utilizadas.

Se pretende qtle esta noniia intemacio~ialse dilice para arliiorlizar 10s procesos de gesti6n del riesgo establecidos en las
n o r m s existentes o hturas. Proporciona uii enfoque corn611 en el apoyo cle las noillias que Watatl riesgos y/o sectores
especifrcos, y no sustituye a diclias normas.

Esta nortila irite~nacionalno esti prevista para fines de celtificaci61i.

2 TERMINOS Y DEFINICIONES
Para 10s fines de este docume~lto,se aplican 10s t61minos y definicio~iessiguientes:

2.1 riesgo:
Efecto de la incertidurnbre sobre la co1isecuci6n de 10s objetivos,
NOTA I Un efecto es tula desviacibn,positiva yio negaliva, respecto a lo previsto.

NOTA2 Los objetivos pueden tmer diferentes aspecios (tales cor~lofinancieros, de salud y seguridad, o m~bibimtales)p se puedet~aplicar a diferentes
niveles (tales c01110,1ivelestmt&ico,nivel de~ulproyecto,de ml producto, de ~mprocesoo de una organizaciim conlpleta).

NOTA3 Ca1 frecuencia, el riesgo se caracteriza por referencia a s~~cesas

potenciales (2.17) y a stts cansec~~encl~s
(2.18), o a tula cornbinacibn de
amnbs.

NOTA4 C ~ frecuencia,
I el riesgo se eqresa en t6nninos de comnbi~acibtlde las consentencias de un suceso (incluyendo 10s catnbios en 18s circlms-
1ancias)pde su probnbilidad (2.19).

NOTA 5 La incertidun~bre es el estado, inclusoparcial, de deficiencia en la infonnaci6n relativa a la co~nprensibno al conoci~nientode 1m suceso, de slls
consecufllcias o de su probabilidad

[IS0 Guia 73:2009, defitiici6n 1.11

2.2 gesti6n del riesgo:

Actividades coordinadas para dirigir y cor~trolaruna organizaci611en lo relativo al riesgo (2.1).

[IS0 Guia 73:2009, definici6n 2.11

 AENOR
j

2.3 nlarco de trabajo de la gesti6n del riesgo:

Conjunto de elementos que proporcionan 10s fi~ndatnentosy las disposicio~iesde la organizacion pwa el diselio, la imnplanta-
ci6n, el seguimiesto (2.28), la revisi6n y lamejora continua de la gesti6n del riesgo (2.2) en toda la organizaci6n.

incluyen la politica, 10s objetivos, el mandato y el comprotniso para gestionar el riesgo (2.1).
NOTA 1 Los fiu~da~neiltos

NOTA2 Las disposiciones de la orgatlizacibn hlcl~tyen10s planes, las relaciones, la obligacibn de rendir cuentas, 10s recorsos, 10s procesos y las
actividades.

NOTA3 El m m o de trabajo de la gestih~del riesgo es parte integmte de las polkicas p prhcficas estrat4gicas y operacialales gerlerdes de la
o'gililizacibi.

[IS0 Guia 73:2009, defuiici6n 2.1.11

2.4 politica de gesti6n del riesgo:

Declaraci6n de las intenciones y orientaciones gwierales de una organizacibn en relaci61i con la gesti6n del riesgo (2.2).

t [IS0 Guia 73:2009, definici611 2.1.21

2.5 actitud ante el riesgo:

Enfoqne de la organizaci6n para apseciar un riesgo (2.1) y eventual~nentebuscarlo, retenerlo, toniarlo o rechazarlo.

[IS0 Guia 73:2009, def~ci61i3.7.1.11

2.6 plan de gesti6n del riesgo:

Esqitenia incluido en el marco de trabajo de la gesti611 del riesgo (2.3) que especifica el enfoque, 10s conipo~lelltesde
gestion y 10s recursos a aplicar para la gestion del riesgo (2.1).

NOTA 1 Por lo general, 10s cotnpaientes de gestib inc11r)m 10sprocedinuaaos, las pr8cticas, la asi@acih de responsabilidades,la secuenciapla cron* a
login de las anisidades. 0
:ill
NOTA2 El plilil degestih del riesgo sepuede apliear a rnlprodudo, mlproceso oun proyectoparticular. p a ma parte o a la totalidad de la omaniuciin. 4

[IS0 Guia 73:2009, defniici6n 2.1.31

2.7 duedo del riesgo:

I
Persona o entidad que tielie la responsabilidad y ailtoridad para gestionar un riesgo (2.1).

[IS0 Guia 73:2009, defmici6n 3.5.1.51

2.8 proceso de gesti6n del riesgo:

Aplicacion sistenihtica de politicas, procedin~ientosy prhcticas de gesti611a las actividades de comunicaci611, consi~lta,
estableci~nientodel contexto, e identificaci611, anhlisis, evaluaci611, tratamiento, segui~niento(2.28) y revision del
riesgo (2.1).

[IS0 Guia 73:2009, defuuci6n 3.11

2.9 estableci~nientodel contexto:

Definici6n de 10s pwhmehos extenlos e internos a tener en cuetita cuando se gestiona el riesgo, y se establecen el alcatlce y
10s criterios de riesgo (2.22) para la politica de gesti6n del riesgo (2.4).

[IS0 Guia 73:2009, definicibn 3.3.11

2.10 colltexto externo:

Ento~noesterno en el que la orgaluzaci6n busca alcamar sus objetivos.
NOTA El entorno eatenlo puede incluir:
- el entorno cultural, social, politico, legal, reglamtientario, fmanciero, ten1016gic0, eeon6mic0, natliral y comnpetitivo, a nivel internacional,
national, regional o local;
- 10s factores y las tendencias que tengan itnpacto sobrelos objetivos de la organization; y
- las relaciones con Ias pitries interesadas erternns (2.131, sus percepciones y sus valores.

[IS0 Guia 73:2009, definici6n 3.3.1.11

2.11 contexto iaterno:

Elltorno itlter~~o
en el que la organizaci6n busca alcanzar sits objetivos.
NOTA El conteao htemopi~edeincloir:
- el gohienlo, la estmctura dela organizacibn, las fimciwes yla obligaci6n de rendir cuentas:
- las politicas, 10s objetivos y las estrategias que se establece~lpara conseguirlo;
- las capacidades, entendidas en tCnninos de recttrsos yconocimiemitos @orejetliplo, capital, tiempo. persmas, procesos, sistemra y tecnologlas); (,
- los sistelnas de isfonraci6n,los flujos de hfonfowacibnylos procesos de toma de decisiones (taito fonnales como infonnales);
- las ~elacionescon, p !as percepciones y 10s valores de las partes interesadas inten~aa,
- la culnlra de la orgaiiizacion;
- las nannas, las directrices y 10s miiodelos adoptados por la orgm~izaciirn;y
- la fonna y alllplihld de las relaciones contractuales.

[IS0 Guia 73:2009, definici6113.3.1.21

2.12 comunicaci6n y consults:

Procesos iterativos y cot~tinuosque realiza utla orga1uzaci611para proporciotlar, cotllyartir o obtener i11fiorinaci6ny para
establecer el dihlogo con las partes interesadas (2.13), en relaci6tl con la gestic511del riesgo (2.1).
NOTA 1 La infonnacih puede compmder a la existencia, la nahlralera, la fonna, la probabilidad (2.19) la imnpotta~cia,la evaluacihl, la aceptabilidad
y el tratamin~tode la gestion del riesgo.

NOTA2 La ca~sUltaconstihlye em proceso de comimimci6n ufonnada de doble snitido entre una organization p sus partes interesadas, sobre lula
cuesti6n antes de tomar una decision o detenninartula orienlaci&isobre diclla cuesli611.La consl~ltaes:
- us proceso qile iinpacta sobre una decisioll a travCs de la intluencia mi%que por la autoridad; y (
- una conlribuci6n para una toma de decisi681,y no una tollla de decision conjunta.

2.13 parte interesada:

Persona u orga11izaci611qoe puede afectar, ser afectada, o percibir que esti afectada por uila decisi6n o actividad.
NOTA Una persona que totlia decisionespuede ser <maparte interesada.

[IS0 Guia 73:2009, definici6n 3.2.1.11

2.14 apreciaci6n del riesgo:

Proceso global que cotllprende la idestificaci611 del riesgo (2.15), el anhlisis del riesgo (2.21) y la evalnaci6n del
riesgo (2.24).

[IS0 Guia 73:2009, defuIici6113.4.1]

 AENOR
i

2.15 identiiicaci6n del riesgo:

Proceso que co~~lprendela bilsqueda, el recot~ocimie~lto
p la descripci6n de 10s riesgos (2.1).
NOTA 1 La identificacib del riesgo irnplica la identificacih de las fitentes de riesgo (2.16), 10s sucesos (2.17), sus rausas y sus conseclleneias
poteneiales (2.18).

NOTA2 La identificacih del riesgo puede hnplirar datos hist(nicos, m,aisis tebricos, opiniinies infonnadar y de exyertos, asi conlo necesidades de Ian
partesiuteresadas(2.13).

[IS0 Guia 73:2009, definici6113.5.1]

2.16 fuente cle riesgo:

Eletnento que, por si solo o en combinaci6n con otros, presetlta el potel~ciali~ltri~iseco
de engendrar uu riesgo (2.1).
NOTA Una filente deriesgopuede ser tangible o intm~gible

[IS0 Guia 73:2009, defn~ci6n3.5.1.21

(
2.17 suceso:
Octtnencia o catllbio de un coz~jni~to
pa~tic~tlar
de circunstancias.
ser imico o repetirse, y se poede deber a varias causas.
NOTA 1 Un s~icesop~~ede

NOTA 2 Un suceso poede consistir en algo que no se llega a prodocit.

NOTA 3 Algtulas veces, un suceso se puede calificar con~om "incidente" o nl "accidente"

NOTA 4 Un suceso sin cansec~~encias

(2.18) ta11bi6n se puede citar corno "euasi accidentc" o "incidente".

[IS0 Guia 73:2009, definici6n 3.5.1.31

2.18 cottsecuencia:
Resultado de un suceso (2.17) que afecta a 10s objetivos.
NOTA 1 UII suceso pltede conducir a una serie de co~lsecuencias.

NOTA 2 Una consecnencia puede ser ciena o inciefia y puede teller efectos positives o negatives sobre la cotlsecucih de 10s objetivos.
I NOTA 3 Las eonsecoencias se pueden expresar de fonna cualitativa o cum~titativa.

NOTA 4 Las consecuencias iniciales paedee convertirse en reacciotles ea cadetla.

[IS0 Guia 73:2009, defu1ici6n 3.6.1.31

2.19 probabilidad (likelrood):

Posibilidad de qtle algbn hecho se produzca.
A I tin In lenll~oologlsde la gc,l~inrlcl risgu, la pxllbra "probnb~l~J,?d're I~IIIv,.I p ~ r nihld~;ar IR poiihlidxl tlc quc algiui llcello se ~)lod~/Cn, (lit?
csu poslbllid?d eiln dclinlJn, ~lleJjd,lo Jclec~tl~n~d.?
oh~ctnao n~bjrt~wnintc. caralttalira o ia~u,tit;o~vamo~re. ). dcicrita 1 1 1 1 i l / ~ l dt6llllil0r
~~
genekdes ode fonna nlateiniitica (tales cotno !ma probabilidad o una frecuencia sobre alp"cda de tiempo dado).

NOTA 2 La valabia inelesa "likelihood"no tiene m a eouivalencia diiecta en algunos idiomas; en so lugar se utiliza con frecuencia la palabra "probab'ilitY
(I~r;'I,.qhtllJ.~$SIIBc ~ n h ~ gCoI I,18lglCsIs l>al;tl;~a w i n t c i ~ ~ ~c C~ aC C I I C I I ~ dC i~ionl1.t
' prob~btlii)" ~ ~ ~ ~lttnr
~ C lit,lirsd.i como 1111 tCn1~i~~0~~13tellllllCa
I'or ello, ell la ten,lnnol<ga dc 11 gcsiio~tdel iw\go la palshra 'likel!h<krl r attllw toll la inl\!na i~aerproacib,alnplta qur. tiole 1.1 l ~ l l l b r ~ l
' pruh:ih~ltt)"(pnhhhlll<lad)PI) a r m idionla'; dtalitnos del ill&;
 AENOR
i

2.20 perfil del riesgo:

Descripci611de ccualquier corljunto de riesgos (2.1).

NOTA El conjltnto de riesgos pltede inclnir 10s riesgos relatives a toda la organizacih, a p a e de la organiracibn, o defmirse de otra manera.

[IS0 Guia 73:2009, defmici6n 3.8.2.51

2.21 anilisis del riesgo:

Proceso q~tepennite compre~~der
la natitraleza del riesgo (2.1) y detenninar el nivel de riesgo (2.23).

NOTA I El lulhlisis del riesgo proporciona las bases para la evaluacl6n del riesgo (2.24) y para totnar las decisiones relativas a1 trntnmienlo del
riesgo (2.25).

NOTA 2 El anhlisis del riesgo u~cltlyela estimacibn del riesgo

[IS0 Guia 73:2009, definici6113.6.1J

2.22 criterios de riesgo:

Tirmnklos de referencia respecto a 10s que se evalda la impottatlcia de utl riesgo (2.1).

NOTA 1 Los criterios de riesgo se basal en Ins objetivos dela organiulci611, y en el eonfexfoerferno (2.10)e inferno (2.1 I)

NOTA 2 Los criterios de riesgo se pueden obtener de nonnas, leyes, politicas y otros reqnisitos.

[IS0 Guia 73:2009, defuuci6n 3.3.1.31

2.23 rtivel de riesgo:

Magnihtd de UII riesgo (2.1) o combi1iaci611de riesgos, esyresados ell tkrlnillos de la co1nbhlaci611de las consecuencias
(2.18) y de su probabilidad (2.19).

[IS0 Guia 73:2009, definici6113.6.1.81

2.24 evaluaci6n del riesgo:

Proceso de cot1lparaci6n de 10s resultados del anhlisis del riesgo (2.21) con 10s criterios de riesgo (2.22) para detelmitiar si
el riesgo (2.1) ylo su lnagtlimd sot1 aceptables o tolerables.

NOTA La evaluacibn del riesgo ayuda a la foina de decisiones sabre el trataluleufo del riesgo (2.25)

2.25 tratailliellto del riesgo:

Proceso destinado a modificar el riesgo (2.1).

NOTA I El tratatniento del riesgo puede iinplicar:

- evitar el riesgo, decidie~ldono iniciar o continttar con la actividad que nnotiva el riesgo;
- aceptar o aunlentar el riesgo con objeto de buscar utna opommidad;
- eliininar la fuente de riesgo (2.16);
- camnbiarla probabilidad (2.19);
- cambiar Ian consecuencias (2.18);
- cornpartir el riesgo con otra 11 otras pates (incluyendo Ins contrafos y la fu1anciaci61ldel riesgo); y
- mantener el riesgo en base a tula decisibn infonnada.
 AENOR - 13 - IS0 31000:2009

NOTA 2 Los trat~lnientosdel riesgo que conducen a co~aecue~~cias negativas, en ocasiones se citan colno '"mitigacibndel riesgo", "eliminaci6n del
riesgo", "prevencibn del riesgo" y "reduccibn del ~iesgo".

NOTA 3 El trata~uientodel riesgopuede originarnuevos riesgos o ~nodificar10s riesgos existentes

[IS0 Guia 73:2009, definici6n 3.8.11

2.26 control:
Medida qtte nlodifica un riesgo (2.1).
NOTA 1 Los controles hcluyen cualquier proceso, politics, disposilivo,prictica, o Mras acciones que modifiqllen un riesgo.

NOTA 2 Los controles no sielllpre puedeli proporcionar el efecto de ~nodificacihprevisto o asotnido.

[IS0 Guia 73:2009, d e f ~ c i 6 n3.8.1.11

2.27 riesgo residual:

\ Riesgo (2.1) remariente despubs del trataluiento del riesgo (2.25).
NOTA 1 El riesgo residual puede contener riesgos no identificados.

NOTA 2 El riesgo residual taaibien se puede conocer colno "riesgo retenido".

[IS0 Guia 73:2009, def~ci6113.8.1.6]

2.28 seguimiento:
Verificacibn, st1pervisi611,observaci6n critica o detenninaci6n del estado con objeto de identiticar de una manera contilma
10s ca~iibiosqite se puedan produck en el nivel de desetnpeiio requerido o previsto.
NOTA El seguiniento se puede aplicar a urn nlarco de trabajo de la gesti6a del riesgo (2.3), a un proceso de gesti6n del riesgo (2.8), a un riesgo (2.1) 0
a l control (2.29.

[ I S 0 Guia 73:2009, detinici6113.8.2.11

2.29 revisi6n:
Actividad que se realiza para detei~ninarla idoneidad, la adecuaci611 y la eficacia del tenla esh~diadopara conseguir 10s
objetivos establecidos.
;
NOTA La revisibn se puede aplicnr a urn ~narcode trabajo de la gesti6n del riesgo (2.3), a un praceso de gesti6n del riesgo (2.8), a 1111riesgo (2.1) 0 01
COUh'Ol(2.26).

[IS0 Guia 73:2009, defitiici61i 3.8.2.21

3 PRINCIPIOS
P x a qne la gesti6n del iiesgo sea eficaz, las organizacioaes deberian citmnpli en todos sus niveles 10s principios sigttientes.

a) La gesti611del riesgo crea y protege el valor

La gesti6n del riesgo conhibttye de marlera tangible al logro de 10s objetivos y a la mejo~adel dese~ulpefio,por ejeniplo,
en lo referelite a la salud y seguridad de las personas, a la collfomudad con 10s reqoisitos legales p reglamelltos, a la
aceptaci61ipor el pfiblico, a la protecci6n an~biental,a la calidad del producto, a la gesti6n del proyecto, a la eficacia en
las operaciotles, y a su gobiemo y reptttacibn.
 AENOR
i

b) La gesti6n del riesgo es una parte integral de todos 10s procesos de la organizaci6n

La gesti6n del riesgo no es una actividad independiente separada de las actividades y procesos principales de la
organizaci6n. La gesti6n del riesgo es paste de las responsabilidades de gesti6n y una parte integral de todos 10s
procesos de la orgaganizaci611, ir~cluyendola planificacion estratigica y todos 10s procesos de la gesti6n de proyectos y
de carnbios.

c) La gesti6n del riesgo es parte de la toma de decisiones

La gestion del riesgo a p d a a las pelsonas que to11ia11decisiones a reaiizar elecciones infonnadas, a definir las priorida-
des de las acciones p a disti~~goir elltre planes de accioti diferentes.

d) La gestibn del riesgo trata explicitaniente la incertidun~bre

La gesti61i del riesgo tiene en cuenta espiicitanlente la uice~tidnmbre,la nahlraleza de esa ince~tidumbre,y la manera
en que se puede tratar.

e) La gesti611del riesgo es sisten~atica,estructurada y oportuna (

Un e~lfoquesistetnhtico, opolhnno p esttuchuado de la gesti6n del riesgo contribuye a la eficacia y a resultados
colierentes, conlparables 1, fiables.

fJ La gesti6n del riesgo se basa en la ruejor informaci6n disponible

Los eletnentos de enhada del proceso de gesti6n del riesgo se basan en fi~entesde inforniaci611tales corno datos hist6ri-
cos, experiencia, retroalunentaci611 de las paltes interesadas, obse1vaci61i.previsiones y juicios cle expertos. N o obstatlte,
las personas qne tonian decisiones deberiati info~marsey teller en cueota todas las linutaciones de 10s datos o rnodelos
~~tilizados,
asi colno las posibles divergencias entre espelos.

g) La gesti611del riesgo se adapta

La gesti6n del riesgo se alinea con el contexto externo e interno de la organizaci6n y con el perfil del riesgo.

h) La gesti6n del riesgn integra 10s factores hun~anosy culturales

La gesti611del riesgo pennite identificar las aptitudes, las percepciones p las intencioi~esde las personas estesnas e
intentas que puedeti facilitar u o b s t ~ ~el~ logro
i s de 10s objetivos de la organizaci611.
i
i) La gesti6n del riesgo es transparente y participativa

La iniplicaci61iapropiada y oportuna de las partes interesadas y, en pa~ticnlar,de las personas que tonlan decisiones a
todos 10s niveles de la ol.galizaci6n, asegura que la gesti6a del riesgo se niantenga peltinente y actualizada. La
implicaci6n tambi611periiute a las pates interesadas estar colectamente representadas y que sns opiniones s e tengan en
cuenta en la dete1mninaci6nde 10s criterios de riesgo.

j) La gesti6n del riesgo es din4mica, iterativa, y responde a 10s can~bios

La gesti6n del riesgo es sensible de nianera continuada a 10s catnbios y respoilde a ellos. Conlo se producen sncesos
estelnos e ititel~los,el contexto y 10s co~iocimientoscambian, se realiza el segtiuniento y la revisi6n de ~iesgos,surgen
titlevos riesgos, algnnos cambian y otros desaparecen.

k) La gesti6n del riesgo facilita la mejora continua de la organizaci6n

Las organizaciones deberian desarrollar e implenlentar estrategias para mejorar su madnrez en la gesti6n del riesgo en
todos 10s deniis aspectos de la organizaci611.

El anexo A proporciona infoniiaci611adicional pala las organizaciones que deseen gestionar el riesgo de manera m i s eficaz. (
 AENOR
1

4 MARC0 DE TRABAJO

4.1 Generalidades
El ixito de la gesti611 del riesgo dependeri de la eficacia del marco de trabajo de gesti6n que proporcione las bases y las
disposiciones que pe1111itirin su integraci611a todos 10s niveles de la organizaci6n. El marco de trabajo facilita una gesti6n
eficaz del ~iesgomediante la aplicaci6n del proceso de gesti6n del riesgo (viase el capitnlo 5) a diferentes niveles y denwo
de cotltextos especificos de la organizaci611. El marco de wabajo garantiza que la infoimaci6n sobre el riesgo obtenida de
este proceso de gesti6n de1 riesgo se comunica y utiliza adecuadamente coino una base para la totna de decisiones y la
obligaci611 de rendk cuentas en todos 10s niveles pertirientes de la organizaci6n.

Este capitnlo describe 10s co~iiponentesnecesarios del marco de trabajo para la gestibn del riesgo y la fonlia en que eStOS
componentes se interelacionan de ilna tna~ieraiterativa, co~ilolnuestra la figura 2.

Mandato y compromiso (4.2)

a
Disefio del marco d e trabajo de la gestion del riesgo (4.3)
Comprensi6n de la organizaci6n y de su context0 (4.3.1)
Establecimiento de la poiitica de gestion del riesgo (4.3.2)
Obligation de rendir cuentas (4.3.3)
integraci6n en ios procesos de la organizaci6n (4.3.4)
Recursos (4.3.5)
Establecimiento de 10smecanismos internos de cornunicaci6n y de
inforrnaci6n (4.3.6)
Estabiecirniento de 10smecanismos externos de comunicaci6n y de
information (4.3.7)

Mejora continua del marco d e trabajo

Implernentaci6n del marco de trabajo de ia gesti6n del
(4.6)
riesgo (4 4.1)
implementaci6n dei proceso de gesti6n dei riesgo (4.4.2)

Segulmiento y revision del marco d e trabajo (4.5)

Figura 2 - Relaciones entre 10s conlponentes del niarco de trabajo de la gesti6n del riesgo

Este inarco de trabajo no esti destinado para prescribii IUI sistema de gesti611, SUIO mis bier1 para ayidar a la orga1uzaci611a
hitegrar la gesti6n del iiesgo en sn sistema de gesti61i global. Por ello, las organizaciones deberian adaptar 10s co~npone~~tes
del marc0 de trabajo a si~snecesidades especificas.

Si las pricticas y procesos de gesti611 existentes en una organizaci611 incluyen colnponentes de gesti6n del riesgo, o si la
orgaiIizaci6n ya lla adoptado 1111proceso fol~nalizadode gesti6n del riesgo para tipos particillares de riesgo o de sihlaciones
de riesgo, entonces estos tipos se deberian revisar y evalnar de fo~macritica de acnerdo con esta nol~ilaitlterilaciollal,
u~cliiyendo10s atributos contet~idosen el anexo A, a fin de determinar si lian sido adecuados, asi conlo sn eficacia.
 AENOR
i

4.2 Mandato y compromise

La itltroducci6n de la gesti611 del riesgo y el asegitratluento de st1 eficacia co~ltit~ita
requieret~un co~nprolllisofitelte y
sosterudo de la direcci6n de la orgaluzaci6n, asi cot~loel estabfecknientode uma platuficaci611estratigica y rig~irosapara
col~segtiirel con~protnisoa todos 10s tuveles. La gesti6ti deberia:

- defn~iry aprobar la politica de gesti6n del riesgo;

- asegurar que la culhtra de la organizaci6n y la politica de gesti611del riesgo e s t h alit~eadas;
- detetlninar 10s indicadores de deselilpefio de la gesti611del riesgo que so11 colierelltes con 10s uldicadores de desempefio
de la organizaci611;

- alit~ear10s objetivos de la gesti611del riesgo coli 10s objetivos y estrategias de la orgaziizaci61l;

- asegurar el cu~nplirnientolegal y reglatneutario;

- asig~iarla obligaci6n de reudir cuentas p las responsabilidades que co~~espol~den

a 10s diferentes niveles de la ',
I'

orgatuzaci6n;

- asegurar que la gesti6n del riesgo tiezie asigliados 10s recursos necesarios;

- coti~unicar10s beneficios de la gestibti del riesgo a todas las paltes interesadas; y

- asegurar que el marc0 de trabajo para gestioliar el riesgo colltinlia sietldo adecuado.

4.3 Diseiio del slarco de trabajo de la gesti6n del riesgo

4.3.1 Comprensi6n de la organizaci6n y de su contexto

Autes de itticiar el disefio y la impletnentaci6n del marc0 de trabajo de la gesti61i del riesgo, es impoltatite evalitat y eutencler
el cotitexto extenlo p el contexto itlten~ode la orgarizaci611,dado que allibos piteden iofluk significativamente ell el diseiio
del tnarco de trabajo.

La evaluaci6n del contexto extemo de la organizaci61ipuede itlcluir, aonque sin li~iiitarsea ello:

a) el entorno social p cultural, politico, legal, reglatlie~~tario,

fnianciero, tec11016gic0, econ6mic0, llahiral y comnpetitivo, a
nivel intemacio~~al,national, regional o local;

b) 10s factores y las tet~de~lcias

que tielien izllpacto sobre 10s objetivos de la orgallizaci611;y

c) las relacior~escon las partes interesadas, sus percepciones y sus valores.

La evaluaci6n del contexto interno de la organizaci611puede incluir, aunque sill lilnitarse a ello:

- el gobierno, la estructura de la organizaci6nn,las fitncio~iesy la obligaci6n de rendir cuelitas;

- las politicas, 10s objetivos y las estrategias que se establecen para conseguklo;

- lasaptitudes, elitendidas en t6rlniuos de recursos p conocitniezitos (por ejeniplo, capital, tiempo, personas, procesos,
sistelnas y tecnologias);

- 10s sistemas de iuforliiaci611, 10s flujos de iuformaci6n y 10s procesos de tollla de decisiones (tanto fornlales cot110
inforlilales);

- las relacioties con las partes interesadas, s t ~percepciolles

s y st~svalores;
 AENOR

- las normas, las directrices y 10s ~nodelosadoptados por la organizaci6n; y

- la fonna y profundidad de las relaciones conhactuales.

4.3.2 Establecimiento de la politica de gesti6n del riesgo

La politica de gestion del riesgo deberia indicar claramente 10s objetivos y el co~llpromisode la organizaci611 el1 rnateria
de la gesti6n del riesgo, y abordar normalllletlte lo siguietlte:

- las razones de la orga1izaci6n en inateria de gestic511 del riesgo;

- ias relaciones entre 10s objetivos 1,las politicas de la orgatlizaci6n y la politica de gesti6n del riesgo;

- la obligaci611de rendu coentas y las responsabilidades en tnateria de gestion del riesgo;

- la Illallera ell la que se hatall 10s irltereses qne entrall en conflicto;

- el cotllpromiso para tener dispolubles 10s recursos necesarios pala facilitu la obligaci6n de rendir cuentas y las respon-
sabilidades para gestionar el riesgo;

- la manera en la qoe se mide e irIfo1ma sobre el desempefio de la gesti61l del riesgo, y

- el corupronliso para revisar y mejorar la politica de gesti6n del riesgo y el marco de trabajo, peri6dicamente y colllo
respuesta a un suceso o a mi cambio de las circunstatlcias.

La politica de gesti6n del riesgo se deberia comunicar de manera apropiada.

4.3.3 Obligaci6n d e rendir cuentas

La orga1uzaci611deberia asegnrarse de qne estin establecidas la obligaci6n de rendir cuentas, la autoridad y las competell-
cias apropiadas pua gestionar el riesgo, incliiyendo la implementaci6n y el tna~lte~knie~lto del proceso de gesti6n del riesgo
y asegurar la idoneidad, la eficacia y la eficierlcia de todos 10s co~ltroles.Esto se puede facilitu mediante:

- la identificacibn de 10s duefios del riesgo qee tienen la responsabilidad y autoridad para gestionar 10s riesgos;
- la ide1ltificaci6nde qui61les tienen obligaci611de rendir cuetitas del desempefio, la irnpIeplementaci6n,y el mantetlitnie~lto
del marco de trabajo para la gesti6n del riesgo;

- la identificaci6n de otras respomlsabilidades de las personas, a todos 10s niveles en la orga1uzaci611,para el proceso de
gesti6n del riesgo;

- el establecitllie~~to
de 10s procesos de medici6n del dese~npefioy de infor1llaci6n esterna ylo irlterna, asi conlo 10s
procesos de transtnisi6n a un $live1superior; y

- el estableci~nientode niveles de reco~locimientoadecuados.

4.3.4 Integraci6n en los procesos de la organizaci611
La gesti6n del riesgo deberia estar integrada en todas las pricticas y procesos de la organizaci611, de una manera que sea
relevante, eficaz 3. eficiente. El proceso de gesti6n del riesgo deberia formar p a t e de 10s procesos de la orggatlizaci6t1,)~
no ser independiente de ellos. En pa~ticular,la gesti6n del riesgo deberia estar integrada en el desarrollo de la politica,
en la planificaci6n y revisi6n de la actividad y la estrategia, y en 10s procesos de gestic511de cambios.
 AENOR

Cuando coiresponda, estos mecanis~iiosdeberian uicluir procesos para cotlsolidar la infoniiaci6ii relativa a1 riesgo proce-
deiite de fileiites difere~ites,p puede ser aecesario coiisiderar la setisibilidad de la i11fonnaci6n.

4.4 huplementaci611 de la gesti6n del riesgo

4.4.1 It11plenlentaci6n del marc0 de trabajo de la gestidn del riesgo

Para la implementacion del marco de trabajo de la gesti6n del riesgo, la orgatiizaci6n deberia:

- d e f i ~ kel caletidario jr la estrategia apropiados para la implementacion del iiiarco de trabajo;

- aplicar la politica y el proceso de gesti6n del riesgo a 10s procesos de la orgaiuzaci611;
- cn~liplir10s requisites legales y reglamentarios;
- garatitizar que la toina de decisioiies, i~icluyeridoel desa~rolloy el establecimiento de 10s objetivos, se alineati con 10s
i resultados de 10s procesos de gesti6n del riesgo;

- organizar sesiones de inforinaci6ii y 0.e formaci6n; y

- co~nnnicarjr consultar a las pates interesadas para garantizar qne sit rtlarco de habajo de la gesti6n dcl iiesgo colitulua
sie~idoapropiado.

4.4.2 11oplen1entaci611del proceso de gesti6n del riesgo

La gesti6n del riesgo se deberia it~lplenientarde manera que se asegilre qoe el proceso de gesti61i del riesgo, descrito en
el capitnlo 5 se aplica t~iediante1111 plan de gesti6n del riesgo en todos 10s niveles y fi~ucionespertinelites de la organizaci6ti,
como parte de sus pr6cticas y procesos.

4.5 Seguimiento y revisit511 del tnarco de trabajo

Con objeto de asegnrar que la gestioii del riesgo es eficaz y contribnye a ajudar a1 desempeiio de la organizacion, esta
deberia:

- medir el dese~iipeiiode la gesti6n del riesgo respecto a 10s hidicadores, que se revisan peri6dicaniente en cuatito a so
idoneidad;

- iiiedir peri6dicamente el progreso p las desviacioties respecto a1 plan de gesti6n del riesgo;
- revisar peri6dicameiite si el niarco de trabajo, la politica y el plan de gesti6n del riesgo siguen siendo apropiados, a
la vista del colitexto interno y extenlo de la organizaci6n;

- establecer informes sobre 10s riesgos, sobre el progreso del plan de gesti6n del riesgo y sobre la fonlia en qne se esta
siguierido la politica de gesti6n del riesgo; y

- revisar la eficacia del marco de trabajo de la gesti6n del riesgo.

4.6 Mejora co~~tittua

del nlarco de trabajo
En base a 10s resnltados obtenidos del seguimiento y de las revisiones, se deberiaii toinar decisiones sobre ~61110inejorar
el tilarco de trabajo, la politica y el plat1 de gesti6ii del riesgo. Estas decisioiies deberian conducir a mejoras en la
gesti611del riesgo por parte de la orgat1izaci611,asf coi~ioa rnejoras de su cttlttrra d e gesti6it de1 riesgo.
 AENOR
('

5 PROCESO

5.1 Generalidades
El proceso de gesti611del riesgo deberia:

- ser una parte integrante de la gesti611;

- ultegrarse en la cnltl~ray en las pricticas; y
- adaptarse a 10s procesos de negocio de la organizaci6n.

El proceso de gesti6n del riesgo comprende las actividades descritas en 10s apartados 5.2 al 5.6. La figlira 3 mitestra el
proceso de gesti6n del riesgo.

-
Figura 3 Proceso de gesti6n del riesga

5.2 Comunicaci611y consulta

Las comu~licacionesy las consultas con las partes interesadas extenlas e intemas se deberian realizar en todas las etapas del
proceso de gesti6n del riesgo.

Por ello, en ima de las primeras etapas se deberian desmollar 10s planes de comunicaci611y consulta. Estos planes deberian
hatw teinas relatives al riesgo en si tnismo, a sus cansas, a si~sconsecuencias (si se conocen), y a las medidas a tonlar para
tratarlo. Se deberian realizar comunicaciones y consultas extemas e inten~aseficaces para asegurarse de que las personas
responsables de la implet~lentaciQ~ del proceso de gesti6n del riesgo p las paltes ieteresadas comprenden las bases qne ha11
se~?,idopara tolnar decisiones y las razones por las qne son necesarias detertni~iadasacciones. \
 AENOR
(

Uii e~lfoqneconsultive en eqnipo puede:

- ayndar a establecer adecuadarneute el contexto;

- asegurar qile 10s intereses de las paites u~teresadasse comprendeii y se tiellen en consideraci6ii;
- ayudar a asegurar que 10s riesgos se ideritificao adecuadamente;
- reuuir diferentes Breas de experiencia para aiializar 10s riesgos;
- asegnrar que las diferentes opiriiones se tienen en cuenta de fonila adecuada, al defirlir 10s criterios de riesgo y en la
evaluaci6n de 10s riesgos;

- conseguir la aprobaci6n y el apoyo para uti plan de h.atainiento;

- favorecer una gesti6ii de catnbio adecitada duratlte el proceso de gesti611 del riesgo; y

- desanollar un plan adecuado de cotilnilicaci6n p consultas exte~nase internas.

Las cotnurucacioi~esy consultas con las pattes interesadas soti importantes ya que Bstas puedeil emitir juicios sobre el riego
basados en sus percepciones de riesgo. Estas percepciones pueden variar debido a difeteixcias en 10s valores, las necesidades,
las lup6tesis, 10s conceptos y las inquieh~desde las pa~tesir~teresadas.Conio sus opuuones puedeti tener un impact0
uiipottante en las decisiones tomadas, las percepciones de las partes interesadas se deberian identificar, registrar y tomar ell
considemci6n en el proceso de toma de decisiones.

Las com~tnicacionesy conslsultas deberiat~facilitar intercanibios de informaci6n qite sean veraces, pertillentes, exactos y
entendibles, teniendo en cuer~ta10s aspectos confidenciales y de integridad personal.

5.3 Establecinliento del cotitexto

3 Generalidades
Mediatite el establecimielito del cotitexto, la orga~uzacidi~atticilla sits objetivos, defn~e10s pa~hinetrosesternos e internos a
tener en cuenta en la gesti6n del riesgo, y establece el alcance 3. los criterios de ijesgo pam el proceso restante. Aunque
mnchos de estos parBmetros son sirnilares a 10s co~aideradosen el diseiio del niarco de tlabajo de la gesti6n del riesgo
(viase 4.3. I), cuatido se establece el contest0 para el proceso de gesti611 del riesgo tales parAnietros se deben considerar en
mayor detalle, yen particular c6mo estBn relacionados con el alcat~cedel proceso particular de gesti611del liesgo.

5.3.2 Estableci~nientodel contexto externo

El contexto extemo es el entorno externo en qne la organizaci6n bitsca conseguir sus objetivos.

La coml1rensi6n del contexto externo es impo~tatitepara asegwarse de que 10s objetivos e kiquieh~desde las partes interesa-
das extemas se tienen en cueiita c~tandose desa~~ollan 10s criterios de iiesgo. El coiitexto extemo se basa en el contexto a
escala de la orga11izaci611,pero con detalles especificos de reqitisitos legales y reglamentarios, coil las percepciones de las
paltes ititeresadas y coil otros aspectos de riesgos especificos del alcat~cedel proceso de gesti6n del riesgo.

El coiitexto externo puede iiicluir, pero no se limita a:

- el elitorno social y colt~tral,politico, legal, reglarnentario, financiero, tec11ol6gic0, econ6mic0, nahlral p cornpetitivo, a
rlivel it~teinacional,national, regional o local;

- 10s factores y las tendencias clave que tengan irnpacto en 10s objetivos de la orgaaizaci6n; 3'

- las relaciol~escon las partes interesadas extellas, sus percepciones y sits valores.
 AENOR
i

5.3.3 Establecir~ientodel contexto interno

El contesto interno es el eetorno interno en qoe la organizacibn busca conseguir sus objetivos.

El proceso de gesti6n del riesgo debelfa alinearse con la cultnra, 10s procesos, la estn~cturay la estrategia de la organizaci6n.
El contesto intemo lo cotlstihrye todo aquello que en el sen0 de la organizaci611puede influk en la manera en la qne Ulla
organizaci611gestionari el riesgo. Este contexto se debelfa establecer, ya que:

a) la gesti6n del riesgo se realiza en el contesto de 10s objetivos de la organizaci611;

b) 10s objetivos y 10s criterios de un proyecto, de lm proceso o de tuia actividad especificos se debedan considerar a la \,iSta
de 10s objetivos de la organizaci6n en so conjunto; y

c) algunas organizaciones no reconoceii todas las oporh~nidadesque les perrniten conseguir sos objetivos en materia de
estrategia, de proyecto o d e negocio, y esto afecta a la continuidad del comproniiso. la credibilidad, la coilfiarlza y 10s
valores de la organizaci6n.

Es necesario cotliprender el contest0 interno. Puede incluir, pero no se li~nitaa: (

- el gobienio, la estmctura de la organizaci611, las fi~ncionesy las responsabilidades:
- las politicas, 10s objetivos y las estrategias que se establecen para consegnit'los;
- las aptitudes, entendidas en t6r1nhos de recursos y conocin~ietitos(por ejemplo, capital, tieuipo, personas, procesos,
siste~nasy tecnologias);

- la relaciones con las partes internas interesadas, sus percepciones y s11s valores;

- 10s sistetnas de uifor~nacion,10s flujos de informaci61i y 10s procesos de torna de decisiones (tatito forinales cotno
informales);

- las aornias, las directrices y 10s nlodelos adoptados por la organizaci61i; y

- la fornia y extensi6n de las relaciones contractuales.
5.3.4 Establecimiento del contexto del proceso de gesti6n del riesgo
Se deberian establecer 10s objetivos, las estrategias, el alcance y 10s parimetros de las actividades de la organizaci611, 0
de acpellas parks de la organizaci6n donde se aplica el proceso de gesti6n del riesgo. La gesti611del riesgo se deberia
emnprender teniendo en coenta todo lo necesario para justificar 10s recursos qoe se ban de utilizar para llevarla a cabo.
Tamnbi61i se deberian especificar 10s recursos requeridos, las responsabilidades y autoridatles, y 10s registros que se deben
consei7rar.

El contexto del proceso de la gesti6n del riesgo variari de acuerdo con Ias necesidades de la organizaci611. Puede iniplicar,
per0 nose lirnita a:

- la definici6n de las nletas y objetivos de las actividades de gesti6n del riesgo;

- la detinici6ii de las responsabilidades relativas a1 proceso de gesti6n del riesgo;

- la definici6n del alcance, asi co~noel grado y la aniplihtd de las actividades de gesti6n del riesgo a realizar, inclitye11do
]as i~iclusioiiesy esclosiones especificas;

- la definici6n de la actividad, del proceso, de la filnci611,del proyecto, del prodttcto, del sewicio o del activo, en tirminos
cle tienipo y de ubicaci6n; (,
 AENOR

- la defnlici6n de las relaciot~esentre 1111 proyecto, un proceso o una actividad particulares y otros proyectos, procesos
o actividades de la organizaci6n;

- la defiuci6n de las metodologias de apreciacibn del riesgo;

- la definici6n del nlitodo para evaluar el deselnpefio y la eficacia en la gesti6n del riesgo;

- la identification y la especificaci6n de las decisiones a tomar; y

- la ide1ltificaci611, el alcance o el marco de 10s estudios requeridos, sn amplitud y sus objetivos, asi como 10s recursos
necesarios para tales eshldios.

Se deberian teller en cuenta estos y otros factoses pertinentes para asegurar que el enfoque adoptado de la gesti611del
riesgo es apropiado a las circunstancias, a la orga~lizacibny a 10s riesgos que afectan a1 logro de sos objetivos.

5.3.5 Definicibn de 10s criterios de riesgo

\
La organizaci611deberia d e f 10s ~ criterios que se aplican para evaluu la importancia del riesgo. Los cfiiterios deberian
reflejar 10s valores, 10s objetivos y 10s recursos de la organizaci611. Algunos criterios poeden estar inlpuestos o derivarse de
requisitos legales o reglamentarios, o de otros requisitos snscritos por la organizaci6n. Los criterios de riesgo deberian ser
coherentes con la politica de gesti6n del riesgo de la organizaci611(v(vse 4.3.2), defmirse a1 co~nienzode cualqnier proceso
de gesti6n del riesgo, y revisarse continuamente.

Al definir 10s criterios de riesgo, se deberian considerar una serie de factores entre 10s cuales se incluyen 10s siguientes:

- la naturaleza y 10s tipos de las causas y de las consecoencias que se pueden producir, y c61no se deben medir;
- el mitodo de definici611de la probabilidad;
- 10s plazos de la probabilidad ylo de las consecuencias;
- el ~nitodopara dete~minarel nivel de riesgo;
- las opiniones de las partes interesadas;
- el nivel al que el riesgo comiet~zaa ser aceptable o tolerable; y
I

- si se deberian tener en cuetlta cotnbinaciones de riesgos n~illtiplesy, en caso afrmativo, c6mo y q118 cot~lbinaciones
se deberian considerar.

5.4 Apreciacibn del riesgo

5.4.1 Generalidades
La apreciaci611del riesgo es el proceso global de identificaci611, de anhlisis y de evaluaci6n del riesgo.
NOTA La Nonna ISOlIEC 31010 proporciona direcfrices sobre las thlicas de apreciaci6n del riesgo.

5.4.2 Identificacibn del riesgo

La organizaci611deberia identificar 10s origenes de riesgo, las 6reas de impactos, 10s sucesos (inclnyendo 10s cambios de
circnnstancias), asi corno sils causas y sus consecuet~ciaspotenciales. El objetivo de esta etapa consiste en generar m a lista
de siesgos exhaltstiva basada en aq~~ellos sucesos que podrian crear, mejorar, prevenk, deggradar, acelerar o retrasar el logro
de 10s objetivos. Es imnportaute identificar 10s ~iesgosasociados al hecho de no buscar una opottwidad. Es esencial realizu
uua ide11tificaci6neshaostiva, ya que un riesgo que no se identifica en esta etapa no se i11cluil6 en anrilisis posteriores.
 IS0 31000:2009 - 24 - AENOR
i

La identificaci611deberia incluir 10s riesgos, tallto si su origen est&o no bajo el cot~trolde la orga1izaci611,incl~~so
aunque el
origen o la causa del riesgo no p~iedaser evidente. La identificaci6n del riesgo deberia incluir el exatnell de 10s efectos el1
cadena de consecuer~ciaspa~ticulares,incluyendo 10s efectos en cascada o acumn~~lativos. Tan~biindeberia cot~sideiaruu
alllplio rango de co~necuencias,incluso atulque el origen o la causa del riesgo no puedan ser evidentes. Ade~nbsde
identificar lo que podria ocucrir, es t~ecesarioconsiderar las posibles causas y escenarios que muestral las consecue~~cias que
se pueden producir. Todas las causas y coasecoe~~cias significativas se deberiao teller en cot1sideraci611.

La orgaaizaci611deberia aplicar l~erran~ie~~tas y tic~licasde identificaci611del riesgo qoe se adapten a sus objetivos y
aptitudes, asi corno a 10s riesgos a 10s que estb expuesta. Para la identificaci6n de 10s riesgos es ese~lcialdisponer de
iiIfornlaci611 pertinente y actualizada. Sie~lipreque sea posible, esta infonnaci6n deberia ir aco~~~pafiada
de antecedentes
apropiados. En la identificaci6n de 10s riesgos deberian inte~venirpersonas con co~iociu~ientos apropiados.

5.4.3 Aniilisis del riesgo

El allblisis del riesgo in~~plica
desarrollar lu1a con~pre~~siitn
del riesgo. El anblisis del riesgo prooyorciot~ae l e ~ i ~ e ~de
~ tei~trada
os
para la evaluaci611del riesgo y para toillar decisiones acerca de si es necesario tratar 10s riesgos, asi coillo sobre las estrate-
gias y 10s mitodos de h.atamiento del riesgo n~bsapropiados.El a~~blisis del riesgo tamnbihl puede proporcio~~ar ele~lie~ltos de
entrada para to~llardecisiot~escua~~do se deben hacer elecciones, y las opcio~~es i~nplica~idiferei~testipos de ~uvelesde (
~iesgo.

El a~lhlisisdel riesgo in~plicala conside1;lci611 de las calisas y las fi~eiitesdel riesgo, sus consecne~aiaspositivas y aegativas,
y la probabilidad de que estas consecue~iciaspuedan ocltrrir. Se deberian ideutificar 10s factores que afectan a las
co~~secl~e~lcias y a la probabilidad. El ~iesgose ai~alizadete~~~iinando las co~~secoencias y su probabilidad, asi cotno obos
at~ibutosdel riesgo. Un soceso puede teller mn6ltiples co~~secuencias y puede afectar a mnfiltiples objetivos. Tambiin se
deberiau teller en cuenta 10s cotiboles existentes, asi corno su eficacia y so eficiencia.

La fornia de expresar las coi~sect~encias y la probabilidad, asi co~iiola Inailera en que istas se combinan para determinar
uu nivel de riesgo, deberia corresponder al tip0 de riesgo, a la inforn1aci6n dispo~~ible y a1 objetivo para el que se utiliza
el rewltado de la apreciaci6n del riesgo. Todos estos datos deberian ser coherentes con 10s criterios de riesgo. Tainbiin
es i n ~ p o ~ t aconsiderar
~~te la interdependeilcia de 10s diferentes riesgos y de sus fuentes.

La confia~men la deteimninaci611del nivel de riesgo y su sensibilidad a las condicio~~es previas y a las lup6tesis se deberia
co~~siderar eil el anblisis y cot~~unicar
de tnanera eficaz a las personas que hall de toillar decisio~~es): cti;uldo corresponds, a
otras partes ir~teresadas.Factores tales cotno las diferet~ciasde opini611entre expertos, la ince~tidt~mnbre, la disponibilidad, la
calidad, la cantidad 1, la validez de la pertinencia de la ulfo11naci6n, o las li~nitacionesrespecto a tl~odelosestablecidos se
tlebefian indicar y pueden resaltarse.

El allilisis del riesgo se puede realizar COII difereiites giados de detalle, depe~ldiendodel riesgo, de la fn~alidaddel a~lblisisy i
de la uIfo1111aci6n, asi co~node 10s datos y 10s reclwsos dispo~ubles.El a~iblisispuede ser cualitativo, seini-cuat~titativoo
cuantitativo, o una combi11aci611de 10s bes casos, depe~~die~~do de las circ~mstancias.

Las consecue~~cias y su probabilidad se pueden dete~~ninarrealiza~~do

el t~~odelode 10s resultados de 1111 suceso o cot~j~mto de
sucesos, o por extrapolaci6n de estudios experirnentales o de datos dispotlibies. Las co~~secuer~cias se pueden expresar en
tim~inosde i~npactostangibles o inta~igibles.En algu~~os CRSOS,se requiere nibs de un valor n ~ t m i ~ i coodescriptor para
especificar las cotisecuet~ciasy su probabilidad para diere~~tes
i~~omentos, lugares, g~uposo situaciones.

5.4.4 Evaluaci6n del riesgo

En base a los resultados del aiblisis del riesgo la fn~alidadde la evaluaci6n del ~iesgoes ayudar a la tollla de decisiones,
detenliinaudo 10s riesgos a tratar la prioridad para implementar el tratamnie~ito.

La evaluaci6n del riesgo implica comparar el nivel de riesgo enco~itradodura~lteel proceso de anhlisis con 10s criterios
de liesgo establecidos cuando se consitler6 el contexto. EII base a esta comnparaci611, se puede considerar la necesidad
del tratamniento.
 AENOR

Para las decisiones se deberia teller en cuenta el context0 niis a~iipliodel riesgo e incluir la consideraci6n de la tolerancia del
riesgo por otras pates diferentes de la organizaci611, qne se beiiefician del riesgo. Las decisioties se deberian toiiiar de
acuerdo con requisitos legales, reglatnentarios y requisitos de otro tipo.

EII algnnas circunstaticias, la evaluaci6n del riesgo puede llevar a la decisi6ti de realiar 1111 at~ilisisen liiayor profundidad.
La evaluaci6ii del riesgo tmilbi6n puede llevar a la decisi6n de no hatar el riesgo de nitignaa otra manera qne maoteniendo
10s controles existentes. Esta decisi6n estari iinflueiiciada por la actihnd alte el riesgo por parte de la organizaci6n y por 10s
crite~iosde riesgo que se hayan establecido.

5.5 Tratamiento del riesgo ffi

E
5.5.1 Generalidades r4
4.
El tratainietito del riesgo i~nplicala selecci6ii y la implementaci6n de una o varias opciones para rnodificar 10s riesgos.
Una vez realizada la i1ilplementaci6n,los trataniientos proporcionan o niodifican 10s controles.

I,
El tratainiento del riesgo supone un proceso ciclico de:

- evaluar un trata~iiientodel riesgo;

- decidir si 10s niveles de riesgo residual son tolerables;

- si no son tolerables, generar uuiiuevo hatamiento del riesgo; y

- evaluar la eficacia de este tratatiliento.

Las opciones de trata~nientodel riesgo no se excluyen necesariatnente unas a otras, ni son apro1)iadas en todas las circuns-
ta~icias.Las opciones puedeti incluir lo siguiente:

a) evitar el riesgo decidieiido no iniciar o continnar con la actividad que cainsa el riesgo;

b) aceptar o anmentar el riesgo a fin de persegnir una opomntiidad;

c) eli~iiinarla fuente del riesgo;

d) modificar la probabilidad;

e) modificar las consecuencias;

f) co~iipartirel riesgo con otras partes (i~~cluyeiido

10s contratos 1' la financiaci6ii del riesgo); y

g) reteller el riesgo en base a una decisi6n informada.

5.5.2 Selecci6n de opciones de tratamiento del riesgo

La selecci6n de la opci6n inis apropiada de tratamiento del riesgo in~plicaobtener nna compensaci6n de 10s costes ~ ~ l o s
esfi~erzosde iniplementaci6n en fi1nci6nde las ventajas que se obtengan, teniendo en ccuenta 10s requisitos legales, regla-
mentarios y de otro tipo, tales colno la responsabilidad social y la protecci6n del eiitorno natural. Las decisiones tailibiin se
debe13an tomar teniendo en cuenta 10s riesgos cnyo tratauliento no es jnstificable en el plano econ6mic0, por ejemplo,
iiesgos severos (consecuencias altanniente negativas) pero raros (baja probabilidad).

Un deteiminado iiilmero de opciones de tratamiento se pnede coiiside~ary aplicar bien individualrnente o biea en combiia-
ci6n. Noinialniente, la organizaci611puede betieficiarse de la adopci6n de ulna co1libiniaci6nde opciones de tratamiento.
 AENOR
l'

A1 seleccionar opcio~lesde trataodento del riesgo, la organizaci6n deberia tener en co11sideraci6n10s valores y las percepcio-
liesde las partes interesadas p 10s lnedios rnis apropiados para co~~iu~ucatsecot1 ellas. Cuando las opcio~lesde hatmiento
del riesgo puedau it~ipactarsobre eel riesgo en cualquier oha parte de la organizaci6n o en las partes interesadas, Bstas se
deberian ulvolucrar en la decisi6n. A igual eficacia, algu~loshatamientos del riesgo pueden ser mis aceptables qile otros
para algonas pates interesadas.

El plan de tratanliento debelia identifrcar con claridad el orden de prioridad en qite se deberian impletllentar 10s tratanuentos
de riesgo i~ldiuiduales.

El tratatilie~ltodel riesgo a so vez puede introducir imevos riesgos. El fallo o la ineficacia de las nledidas de tratamiento
del riesgo pueden collstihrir 1111riesgo impo~<atlte.Para tener la segoridacl de que las medidas son e'iicaces, es necesario
que el seguiiniento sea una p a t e integratlte del plan de tratatuiento del riesgo.

El tratamiento del riesgo tiunbiin puede introducir riesgos secundarios que necesitan que se aprecien, se traten, se realice
segui~lueutoy se revisen. Estos riesgos secuudarios se deberian inco~~orar en el t~usnloplan de h.atarnietlt0 qile el liesgo
original, y no tratalse como riesgos nuevos. La relaci6n entre 10s dos riesgos deberia ide~ltificarsey miu~tenerse.
i
5.5.3 Prepamcibn e in~pleme~~tacibn
de 10s planes de tratamiento del riesgo
La fmalidad de 10s planes de tratamiento del riesgo consiste en docu~nentarla manela en que se implantarttn las opcio~lesde
trataniento elegidas. La info1maci6n proporcionada en 10s planes de tratanuento debelfa klcluir lo siguiente:

- las razones que justifican la selecci6n de las opcio~~es

de tratamiento, iucl~lyendo10s beneficios previstos;

- las personas respo~lsablesde la aprobaci61ldel plan y las personas responsables de la itnplementaci6tl det plan;
- las acciones propuestas;
- las necesidades de recursos, incluyeudo las contingeucias;
- las medidas del desempefio y las restricciotles;

Los plaues de tratamiento deberian integrarse en 10s procesos de gesti6n de la organizaci611y discutirse cot1 las partes (
iilteresadas apropiadas.

Las personas qtle tomaa decisiotles p las otras partes interesadas deberian estar enteradas de la llahlraleza y atllplihtd del
riesgo residual despuis del tratar~lientodel riesgo. El riesgo residual se deberia docitmentar y solneter a segui~iiiento,
revisi6n y,cilartdo sea apropiado, a tratatuueuto adicioual.

5.6 Seguimiento y revisibn

El seguimie~ltoy la revisi6n deberian planificarse en el proceso de trataniiento del riesgo y so~netersea una verificaci6n
o urla vigilancia regi~lar.Esta verificaci6n o vigilatlcia puede ser peri6dica o eventual.

Las responsabilidades del seguiniie~~to

y de la revisi6n deberian estar clararnente definidas.

Los procesos de seguimiento y de revisi6n cie la orga1lizaci6ndeberian abarcar todos 10s aspectos del proceso de gesti6n
del riesgo, cot1 la finalidad de:

- asegivar que 10s controles son eficaces y eficientes tanto en st1 disefio con10 en sit utilizaci6n;

- obtener la infor111aci611 adicional para n~ejorarla apreciaci6n del riesgo;

 AENOR

- analizar y sacar co~iclusionesde 10s si~cesos(incloyendo 10s cuasi-accidentes), cambios, tendencias, dsitos y fallos;

- detectar 10s cambios en el contest0 interno y extenlo, incluidos 10s carnbios en 10s criterios de riesgo y ett el propio
riesgo, qne puedan reqnerir la revisi611de 10s trataniientos de riesgo y de las prioridades; e

- identificar 10s riesgos emergentes

El avance en la iniplantaci6n de 10s planes de tratamiento del riesgo proporcionla lina medida del fiincionan~iento.Los resol-
tados se pueden htco~yoraren la gesti6n del fir~cionatnientoglobal de la organizaci6n, en su medici61ty en las actividades
estellias e internas.

internos y estenios, segiln sea

Los resultados del segi~irnientoy tle la revisi611 se deberian registrar e iircluir en i~$or~nes
apropiado, y tarnbib11se deberian ntilizar cori~oelenierltos de entrada para la revisi6n del marc0 de trabajo de la gesti6n
del riesgo (vdase 4.5).

5.7 Registro del proeeso de gesti61i del riesgo

Las actividades de gestiht del riesgo deberian ser trazables. En el pmceso de gesti6n del riesgo 10s regislros proporcionan la
base para la rnejora de 10s rnitodos y de Ias hemmientas, asi co~nodel proceso en su conjnnto.

Las decisiones relativas a la creaci6n de registros deberiari tener en cuenta:

- las necesidades de la organizaci6n en litateria de aprendizaje continuo;

- 10s beneficios de reutilizar la inforniaci6n para fines de gesti6n;
- 10s costes y 10s esfi~erzosque suponen la creaci6n y el ttiartte~ti~niento
de 10s registros;

- las necesidades legales, reglatttetitarias p operacionales para efectuar 10s registros;

- el indtodo de acceso, la facilidad de rec11peraci6n y 10s tnedios de almacenaje;

- el carhcter sensible de la infonnaci6n.

 AENOR
i

ANEXO A (hformativo)

A.1 Generalidades
Todas las organizacio~~es deben'an teller como objetivo disponer de IIIInivel apropiado de dese~npefiode su inarco de trabajo
de la gesti6n del riesgo, en lhea con el grado de criticidad de las decisiones a tornar. La lista de awibutos que figura a
cor1ti1111aci611represents 1111tiivel elevado de desempefio de la gesti6n del riesgo. Para ayudar a las orga~uzacionesa ~nedirsu
propio dese~npefiocon respecto a estos criterios, se prol~orcionanalgunos indicadores tangibles para cada atribnto.

A.2 Puntos clave

A.2.1 La organizaci6n tiene una comprensi611exhaustiva, correcta y achlalizada de sus riesgos.

A.2.2 Los riesgos de la organizaci611estin en 10s limites de sos criterios de riesgo.

A.3 Atributos

A.3.1 Mejora contirrua

Se pone infasis en la tnejora continua de la gestic511del riesgo tnediante el establechniento de metas de desempefio orgatii-
zacional, medici611, revisi6n y la modificaci6n posterior de 10s procesos, 10s sistemas, 10s rectusos, la capacidad y las
habilidades.

Los indicadores tangibles son, por ejeinplo, la esistencia de objetivos de dese~npefioexplicitos que pem~itanmedir el
desempeiio individual de 10s respo~~sablesy el de la propia orga1uzaci61i.El desempeiio de la orga11izaci611se puede publicar
y co~nnnicar.Nor~~~almente, babri a1 menos lula revisi6n anual del deseinpefio y despnis una revisi611 de 10s procesos y del
estableci~nientode 10s objetivos de desempefio revisados para el period0 siguiente.

Esta evaluaci6n del desempelio de la gesti611 del xiesgo es nna parte integral de la evaluaci6n del dese~npeiioglobal de
la orga11izaci6n y del sistetna d e medici6n (let desenlpeiio de 10s departatne~itosy de las pewonas.
t
A.3.2 Respo~~sabilidad
co~~ipleta
de 10s riesgos
La gesti6n del riesgo optimizada ir~cluyeuna respot~sabilidadexhaustiva totalmente definida y aceptada de 10s desgos,
10s cot~trolesy las tareas de trataniiento del riesgo. Las personas designadas deben aceptar la responsabilidad completa,
tener las habilidades necesarias, disponer de 10s recursos adecuados para verificar 10s co~ltroles,realizar el seguimiellto
de 10s riesgos, tnejorar 10s controles, y cotnonicar eficazmente a las pai%esinteresadas externas e inte~nastodo lo refererlte
a 10s riesgos y a su gesti6n.

Los indicadores tangibles son, por ejetnplo, el hecho de que todos 10s miembros de una orgarlizaci61ihayan tornado concien-
cia plet~anle~ite de 10s riesgos, de 10s controles, 3. de las tareas de las qne son responsables. No~malmetlte, esto estari
registrado ell las descripcionesdel puesto de habajo/ocupaci611, y en las bases de datos o ell 10s sistemas de informaci611. La
defdci6n de las funciones, la obligaci6n de re~~dir cnentas y las responsabilidades en rnateria de gesti611del riesgo deberim
f o ~ n ~parte
a r de todos 10s propamas de acogida para las inco~poracionesnuevas a ur~poesto o utla fi1nci6n.

La organizaci611 debe asegurase de que todas las personas responsables disponen de todo lo tlecesario para cumplir su
funci611, proporcio~~rindoles
la antoridad, el tiemnpo, la fortnaci611,los recursos y las habilidades necesarias para asumir
sus responsabilidades.
 AENOR
1

A.3.3 Aplicaci61i de la gesti6n del riesgo en todas las tolnas de decisiones

Todas las tomas de decisiones dentro de la organizaci611,ct~alquiewque sea el tuvel de importancia y de relevancia, implican
la coaside1%ci6nexplicit8 de 10s liesgos y la aplicaci6n de la gesti6n del riesgo hasta el grado apropiado.

Los indicadores tangibles son, por ejeinplo, la existencia de registros de las reuniot~esy de las decisiones, donde se muestre
la realizaci6n de las discltsiones explicitas sobre 10s riesgos. AdernAs, deberia ser posible co~nprobarque todos 10s comnpo-
nentes de la gesti611del riesgo estirn representados etl 10s procesos clave de tonla de decisiones en la orga1uzaci611, por
ejemplo, en las decisiones sobre la asignaci6n del capital, sobre proyectos impofiantes, y sobre reesh~lchlraci6no cambios
de la organizacidn.Por estas razoiies, en el seiio de una orga~lizacionse considela qoe nna gesti6n del riesgo que est6 bien
consolidada proporcioiia las bases pwa un gobieino eficaz.

A.3.4 Comunicacibn continua

Una gesti6n del riesgo optitnizada inclupe coiiintucaciones cmitint~ascon las pates ititeresadas externas e internas en la
emnpresa, hicluyendo informnes exliaustivos y fiecuentes sobre el desenlpeiio de la gesti6ii del riesgo, coino p a ~ t ede un
buen gobienio.
i
La coinutucaci61icon las paltes interesadas coino un componente integral y ese~icialde la gesti6n del liesgo es un ejenlplo
de indicador tangible. La coniunicaci6n se coilte~nplaconlo un proceso de doble sentido, de manern qne se puedai toniar
decisiones inforniadas colrectanietite sobre el nivel de riesgo y la necesidad de un tratamniento del riesgo, en fi11ici6nde
criterios de riesgo ediaustivos y adecuadamente establecidos.

Los infoimes extenios e internos exhaustivos y fiecuentes, tatdo sobre 10s riesgos significativos como sobre el desen~pefio
de la gestion del riesgo, contribityeii sustancialmente a un gobierno eficaz dentro de una organizaci6n.

La gesti6n del riesgo se considera central en 10s procesos de gestion de la organizaci611, de rnanera qtie 10s riesgos se
consideran en tirtnitios del efecto de la incertidumbre sobre 10s objetivos. La eshuchlra y el proceso de gobierno se basal1 en
la gesti6ii delriesgo. Una gesti6n del riesgo eficaz se co~isidemesencialpor la direcci611para la consecuci6ti~e10s objetivos
de la 01gatlizaci6n.

Los indicadores tangibles son, por ejetnplo, el leilguaje de la diiecci6n, asi como 10s materiales escritos de la orgaganizaci6n
i~iipoitantesque l~tiliza~l
el tinnulo "incertidnmnbre" en relaci611coil 10s riesgos. Este atribitto tainbi6n se refleja nornialnlente
en las decla~acionesde la politica de la orgatlizaci611, en pa~ticularlas relativas a la gesti6ti del riesgo. Noiriialmente, este
atriboto se podria verificar a travis de las elitrevistas con la direcci6n y a travis de la evidencia de sus acciones y
1,
declaraciones.
 AENOR
i

[I] IS0 Guide 73:2009, Risk otmlngenterlt. Vocnbrrlnry

[2] ISOAEC 31010, Risk n~rn?ngerr~ertt.

Risk nssessment tecl?niqses.
AE NOR Asociaci6n Espanola de
Normalizacibn y Certificaci6n

1
Tel.: 902 102,,
Fax: 913 IM 032