INTERNACIONAL ISO

ESTÁNDAR 31000

Segunda edición
2018-02

La gestión de riesgos - Directrices

Gestión du risque - lignes directrices

Número de
referencia ISO
31000: 2018 (E)

© ISO 2018
ISO 31000: 2018 (E)

COPYRIGHT documento protegido

© ISO 2018

Todos los derechos reservados. A menos que se especifique lo contrario, o requerido en el contexto de su aplicación, ninguna
parte de esta publicación puede ser reproducida o utilizada de otro modo, en cualquier forma o por cualquier medio,
electrónico o mecánico, incluyendo fotocopia, o publicar en Internet o en una intranet, sin previo permiso escrito. El permiso
puede ser solicitada de cualquiera de ISO en la dirección abajo o organismo miembro de ISO en el país del solicitante.
Oficina de Copyright de la norma ISO
CP 401 • Ch. de Blandonnet
8 CH-1214 Vernier, Ginebra
Teléfono: +41 22 749 01 11
Fax: +41 22 749 09 47
Email: copyright@iso.org
Sitio web: www.iso.org
Publicado en Suiza

ii © ISO 2018-Todos los derechos reservados

 ISO 31000: 2018 (E)

Contenido Página

Prefacio ........................................................................................................................................... iv
Introducción ............................................................................................................................... v
1 Alcance ........................................................................................................................ 1
2 Referencias Normativas ................................................................................................... 1
3 Términos y definiciones ............................................................................................... 1
4 Principios ................................................................................................................... 2
5 Marco de referencia......................................................................................................... 4
5.1 General4 ..........................................................................................................................
5.2 Liderazgo y commitment5 ...............................................................................................
5.3 Integration5 .....................................................................................................................
5.4 Diseño6 ............................................................................................................................
5.4.1 La comprensión de la organización y su contexto6 ...........................................
5.4.2 compromiso articulado de gestión de riesgos. 6 .............................................................
5.4.3 Asignación de roles organizacionales, autoridades, responsabilidades y
compromisos 7 5.4.4Asignacion de recursos ....................................................................

5.4.5Establiendo comunicación y consulta7 ...........................................................................

5.5 Implementación ..............................................................................................................7
5.6 evaluación8 ......................................................................................................................
5.7 Mejora8 ...........................................................................................................................
5.7.1 Adaptación8 .......................................................................................................
5.7.2 Mejorando Continuamente8 ..............................................................................
6 Proceso........................................................................................................................ 8
6.1 General8 ..........................................................................................................................
6.2 comunicación y consulta9 ...............................................................................................
6.3 Alcance, contexto y criterio10........................................................................................
6.3.1 General10 .........................................................................................................
6.3.2 la definición del alcance10 ...............................................................................
6.3.3 Contexto Externo e interno10 ..........................................................................
6.3.4 Definición de criterios de riesgo10 ...................................................................
6.4 Evaluación de riesgos ....................................................................................................11
6.4.1 General ........................................................................................................11
6.4.2 Identificación del Riesgo ..................................................................................11
6.4.3 Análisis de riesgos12.........................................................................................
6.4.4 Evaluación del Riesgo12 ...................................................................................
6.5 Tratamiento del Riesgo13 ..............................................................................................
6.5.1 General13 .....................................................................................................
6.5.2 La selección de opciones de tratamiento del riesgo13 .....................................
6.5.3 La preparación y ejecución de planes de tratamiento de riesgos14 .................
6.6 Monitoreo y revisión14 ..................................................................................................
6.7 Registro y reporte14.......................................................................................................
Bibliografía ............................................................................................................................... 16

© ISO 2018 - Todos los derechos reservado iii

ISO 31000: 2018 (E)

Prefacio
La ISO (Organización Internacional de Normalización) es una federación mundial de organismos
nacionales de normalización (organismos miembros de ISO). El trabajo de preparación de Normas
Internacionales se lleva a cabo normalmente a través de comités técnicos de ISO. Cada organismo
miembro interesado en una materia para la cual se ha establecido un comité técnico, tiene el derecho
a estar representado en dicho comité. Las organizaciones internacionales, gubernamentales y no
gubernamentales, en coordinación con ISO, también participan en el trabajo. ISO colabora
estrechamente con la Comisión Electrotécnica Internacional (IEC) en todas las materias de
normalización electrotécnica.
Los procedimientos utilizados para desarrollar este documento y los destinados a su posterior
mantenimiento se describen en las Directivas ISO / IEC, Parte 1. En particular, deben tenerse en
cuenta los diferentes criterios de aprobación necesarios para los diferentes tipos de documentos ISO.
Este documento fue elaborado de acuerdo con las normas editoriales de las Directivas ISO / IEC, Parte
2 (véasewww.iso.org/directives).
Se llama la atención a la posibilidad de que algunos de los elementos de este documento puedan ser
objeto de derechos de patente. ISO no se hace responsable de la identificación de cualquiera o todos
los derechos de patente. Los detalles de cualquier derecho de patente identificados durante el
desarrollo del documento estarán en la introducción y / o en la lista ISO de las declaraciones de
patentes recibidas (véasewww.iso.org/patents).
Cualquier nombre comercial utilizado en el presente documento se da información para la comodidad
de los usuarios y no constituye un endoso.
por una explicación de la naturaleza voluntaria de las normas, el significado de los términos y
expresiones específicas ISO relacionadas con la evaluación de la conformidad, así como información
sobre el cumplimiento de ISO de los principios de la Organización Mundial del Comercio (OMC) en
los obstáculos técnicos al comercio (OTC) véase el siguiente URL: www.iso.org/iso/foreword.html.
Este documento fue preparado por el Comité Técnico ISO / TC 262, Gestión de riesgos.
Esta segunda edición anula y sustituye a la primera edición (ISO 31000: 2009), que ha sido técnicamente
revisado.
Los principales cambios en comparación con la edición anterior son los siguientes:
— revisión de los principios de la gestión de riesgos, que son los criterios clave para su éxito;
— destacando de la dirección de la alta dirección y la integración de la gestión de riesgos,
empezando por el gobierno de la organización;
— mayor énfasis en el carácter iterativo de gestión de riesgos, y señaló que las nuevas experiencias,
el conocimiento y el análisis pueden conducir a una revisión de los elementos del proceso, las
acciones y los controles en cada etapa del proceso;
— racionalización del contenido con mayor énfasis en el mantenimiento de un modelo de sistemas
abiertos para adaptarse a múltiples necesidades y contextos.

Iv © ISO 2018-Todos los derechos reservados

 ISO 31000: 2018 (E)

Introducción
Este documento es para su uso por personas que crean y protegen valor en las organizaciones
mediante la gestión de riesgos, toma de decisiones, establecer y alcanzar objetivos y mejorar el
desempeño.
Organizaciones de todos los tipos y tamaños se enfrentan a factores e influencias externas e internas
que hacen que sea incierto si van a alcanzar sus objetivos.
La gestión de riesgos es iterativo y ayuda a las organizaciones a establecer estrategias, el logro de los
objetivos y a tomar decisiones informadas.
Gestionar el riesgo es parte de la gestión y el liderazgo, y es fundamental para la forma en la
organización se dirige a todos los niveles. Contribuye a la mejora de los sistemas de gestión.
Gestión del riesgo es parte de todas las actividades asociadas con una organización e incluye la
interacción con las partes interesadas.
La gestión del riesgo considera el contexto externo e interno de la organización, incluyendo el
comportamiento humano y los factores culturales.
La gestión del riesgo se basa en los principios, estructura y proceso descrito en este documento, como
se ilustra en Figura 1. puede que ya existan estos componentes en su totalidad o en parte dentro de la
organización, sin embargo, puede ser que necesitan ser adaptados o mejorados de manera que la
gestión del riesgo es eficiente, eficaz y coherente.

Figura 1 - Principios, marco y un proceso

© ISO 2018 - Todos los derechos reservado v

INTERNACIONAL ESTÁNDAR ISO 31000: 2018
(E)

La gestión de riesgos - Directrices

1 Alcance
Este documento proporciona directrices sobre la gestión de riesgo que enfrentan las organizaciones.
La aplicación de estas directrices se puede personalizar para cualquier organización y su contexto.
Este documento proporciona un enfoque común para la gestión de cualquier tipo de riesgo y no la
industria o sector específico.
Este documento se puede utilizar durante toda la vida de la organización y se puede aplicar a
cualquier actividad, incluyendo la toma de decisiones en todos los niveles.

2 Referencias Normativas
No hay referencias normativas en este documento.

3 Condiciones y definiciones
A los efectos de este documento, se aplican los siguientes términos y definiciones.
ISO e IEC mantienen bases de datos terminológicas para su uso en la normalización en las siguientes
direcciones:
— ISO plataforma de Navegación en línea: disponible en http://www.iso.org/obp
— IEC Electropedia: disponible en http://www.electropedia.org
3.1
riesgo
efecto de la incertidumbre en los objetivos
Nota 1 de la entrada: Un efecto es una desviación de la esperada. Puede ser positivo, negativo o ambos, y puede
abordar, crear o dar lugar a oportunidades y amenazas.

Nota 2 a la entrada: Los objetivos pueden tener diferentes aspectos y categorías, y pueden aplicarse a diferentes
niveles.

Nota 3 a la entrada: El riesgo se expresa generalmente en términos de fuentes de riesgo (3.4), eventos
(potenciales3.5), sus consecuencias
(3.6) Y su probabilidad (3.7).

3.2
gestión de riesgos
actividades coordinadas para dirigir y controlar una organización con respecto al riesgo (3.1)
3.3
Partes interesadas
persona u organización que puede afectar, ser afectado por, o que crean que están afectadas por una
decisión o actividad
Nota 1 a la entrada: El término “parte interesada” se puede utilizar como una alternativa a los “grupos de
interés”.

3.4
fuente de riesgo
elemento que solo o en combinación tiene el potencial de dar lugar a riesgo (3.1)

© ISO 2018 - Todos los derechos reservado 1

ISO 31000: 2018 (E)

3.5
evento
ocurrencia o cambio de un conjunto particular de circunstancias
Nota 1 de la entrada: Un evento puede tener uno o más ocurrencias, y puede tener distintas causas y varios
Consecuencias (3.6).

Nota 2 de la entrada: Un evento también puede ser algo que se espera que no sucede, o algo que no se espera que no
suceda.

Nota 3 a la entrada: Un evento puede ser una fuente de riesgo.

3.6
consecuencia
resultado de un evento (3.5) que afectan a objetivos
Nota 1 de la entrada: Una consecuencia puede ser cierto o incierto y puede tener efectos directos o indirectos
positivos o negativos en los objetivos.

Nota 2 a la entrada: Las consecuencias pueden ser expresadas de forma cualitativa o cuantitativamente.

Nota 3 de entrada: Cualquier consecuencia puede escalar a través de cascada y los efectos acumulativos.

3.7
probabilidad
posibilidad de que ocurra algo
Nota 1 de entrada: En la gestión del riesgo (3.2) Terminología, la palabra “probabilidad” se utiliza para referirse
a la probabilidad de que ocurra algo, ya sea definido, medido o determinado objetiva o subjetivamente,
cualitativa o cuantitativamente, y se describe el uso de términos generales o matemáticamente (tales como una
probabilidad o una frecuencia más de un período de tiempo dado).

Nota 2 a la entrada: El término inglés “probabilidad” no tiene un equivalente directo en algunos idiomas; En su
lugar, se utiliza a menudo el equivalente de la expresión “probabilidad”. Sin embargo, en inglés, “probabilidad”
a menudo se interpreta estrictamente como un término matemático. Por lo tanto, en la terminología de la
gestión de riesgos, la “probabilidad” se utiliza con la intención de que debe tener la misma interpretación amplia
que el término “probabilidad” tiene en muchos idiomas distintos del inglés.

3.8
controlar
medida que mantiene y / o modifica riesgo (3.1)
Nota 1 de la entrada: Los controles incluyen, pero no se limitan a, cualquier proceso, la política, la práctica del
dispositivo, u otras condiciones y / o acciones que mantienen y / o modifican el riesgo.

Nota 2 a la entrada: Los controles no siempre pueden ejercer el efecto pretendido modificar o asumido.

4Principios
El propósito de la gestión de riesgos es la creación y protección de valor. Mejora el rendimiento, estimula la
innovación y apoya el logro de los objetivos.
Los principios esbozados en Figura 2 proporcionar orientación sobre las características de la gestión
eficaz y eficiente del riesgo, comunicando su valor y explicando su intención y propósito. Los
principios son la base para la gestión de riesgo y deben tenerse en cuenta al establecer los marcos y
procedimientos de gestión de riesgos de la organización. Estos principios deberían permitir a una
organización para gestionar los efectos de la incertidumbre sobre sus objetivos.

2 © ISO 2018 - Todos los derechos reservados

 ISO 31000: 2018 (E)

Figura 2 - Principios
La gestión eficaz del riesgo requiere de los elementos de Figura 2 y puede explicarse adicionalmente
como sigue.
a) Integrado
La gestión de riesgos es una parte integral de todas las actividades de la organización.
b) Estructurado y exhaustivo
Un enfoque estructurado y global de la gestión del riesgo contribuye a resultados consistentes y
comparables.
sc) tomCiuzere
El marco de gestión de riesgos y el proceso se personalizan y proporcionada al contexto externo e
interno de la organización en relación con sus objetivos.
c)lusyo he
d
n
participación adecuada y oportuna de las partes interesadas permite a sus conocimientos, puntos
de vista y percepciones que se deben considerar. Esto se traduce en un mejor conocimiento y
gestión de riesgos informado.
e) Dinámica
Los riesgos pueden emerger, cambiar o desaparecer a medida que cambia el contexto externo e
interno de una organización. La gestión del riesgo anticipa, detecta, reconoce y responde a los
cambios y acontecimientos de una manera apropiada y oportuna.
f) Mejor información disponible
Las entradas a la gestión de riesgos se basan en información histórica y actual, así como en las
expectativas futuras. La gestión del riesgo toma en cuenta explícitamente la existencia de
limitaciones e incertidumbres asociadas con dicha información y expectativas. La información
debe ser oportuna, clara y disposición de los interesados pertinentes.

© ISO 2018 - Todos los derechos reservado 3

ISO 31000: 2018 (E)

g) factores humanos y culturales

el comportamiento humano y la cultura influyen significativamente en todos los aspectos de la
gestión de riesgos en cada nivel y etapa.
h) Mejora continua
La gestión del riesgo se mejora continuamente a través del aprendizaje y la experiencia.

5 Marco de referencia

5.1 General
El propósito del marco de gestión de riesgos es ayudar a la organización en la integración de la gestión
de riesgos en las actividades y funciones importantes. La eficacia de la gestión del riesgo dependerá
de su integración en el gobierno de la organización, incluyendo la toma de decisiones. Esto requiere
apoyo de los interesados, en particular la gestión de la parte superior.
el desarrollo del marco abarca la integración, el diseño, implementación, evaluación y mejora la gestión de
riesgos en toda la organización. figura 3 ilustra los componentes de un marco.

Figura 3 - marco

La organización debe evaluar sus prácticas y procesos de gestión de riesgos existentes, evaluar las
lagunas y hacer frente a esos vacíos dentro del marco.
Los componentes del marco y la forma en que trabajan juntos deben ser personalizados para las
necesidades de la organización.

4 © ISO 2018 - Todos los derechos reservados

 ISO 31000: 2018 (E)
5.2 Liderazgo y compromiso
Los órganos de la alta dirección y superintendencia, en su caso, se debe asegurar que la gestión de
riesgos se integra en todas las actividades de la organización y debe demostrar su liderazgo y
compromiso por:
— personalización y la implementación de todos los componentes del marco;
— la emisión de una declaración o política que establece un enfoque de gestión de riesgos, plan o
curso de acción;
— asegurar que los recursos necesarios se asignan a la gestión del riesgo;
— la asignación de autoridad, responsabilidad y rendición de cuentas en los niveles apropiados
dentro de la organización. Esto ayudará a la organización a:
— alinear la gestión de riesgos con sus objetivos, la estrategia y la cultura;
— reconocer y abordar todas las obligaciones, así como sus compromisos voluntarios;
— establecer la cantidad y el tipo de riesgos que pueden o no pueden ser tomados para guiar el
desarrollo de criterios de riesgo, asegurando que se comunican a la organización y sus grupos de
interés;
— comunicar el valor de la gestión de riesgos de la organización y sus grupos de interés;
— promover la vigilancia sistemática de los riesgos;
— asegurar de que el marco de gestión del riesgo sigue siendo apropiado para el contexto de la
organización.
Parte superior la administración es responsable de la gestión de riesgos, mientras que los órganos de
supervisión son responsables de supervisar la gestión de riesgos. Órganos de control a menudo se
espera o se requiere que:
— asegurar que los riesgos se consideran adecuadamente al establecer los objetivos de la
organización;
— comprender los riesgos que enfrenta la organización en la consecución de sus objetivos;
— asegurar que los sistemas para gestionar estos riesgos se implementan y funcionan con eficacia;
— asegurar que tales riesgos son apropiados en el contexto de los objetivos de la organización;
— garantizar que la información sobre estos riesgos y su gestión se comunica correctamente.

5.3 Integración
La integración de la gestión de riesgos se basa en una comprensión de las estructuras organizativas y
contexto. Estructuras difieren dependiendo del propósito, los objetivos y la complejidad de la
organización. El riesgo se gestiona en cada parte de la estructura de la organización. Todos en una
organización tiene la responsabilidad de la gestión del riesgo.
Gobernabilidad guía a lo largo de la organización, sus relaciones internas y externas, y las normas,
procesos y prácticas necesarias para lograr su propósito. Las estructuras de gestión se traducen
dirección de gobierno en la estrategia y los objetivos asociados necesarios para lograr los niveles
deseados de rendimiento sostenible y la viabilidad a largo plazo. Determinantes de rendición de
cuentas y supervisión funciones de gestión de riesgos dentro de una organización son parte integral
de gobierno de la organización.
La integración de la gestión de riesgos en una organización es un proceso dinámico e iterativo, y debe
ser adaptado a las necesidades y la cultura de la organización. La gestión del riesgo debe ser una parte
de, y no separada de, el propósito de la organización, la gestión, el liderazgo y el compromiso, la
estrategia, los objetivos y las operaciones.

© ISO 2018 - Todos los derechos reservado 5

ISO 31000: 2018 (E)

5.4 Diseño

5.4.1 La comprensión de la organización y su contexto

Al diseñar el marco para la gestión de riesgos, la organización debe examinar y entender su contexto
externo e interno.
Examinar el contexto externo de la organización puede incluir, pero no se limita a:
— los factores sociales, culturales, políticos, legales, regulatorios, financieros, tecnológicos,
económicos y ambientales, ya sea internacional, nacional, regional o local;
— los conductores y las tendencias que afectan a los objetivos de la organización clave;
— externo las partes interesadas relaciones, percepciones, valores, necesidades y expectativas;
— contractual relaciones y compromisos;
— la complejidad de las redes y dependencias.
Examinar contexto interno de la organización puede incluir, pero no se limita a:
— visión, misión y valores;
— gobierno, la estructura organizativa, roles y responsabilidades;
— estrategia, los objetivos y las políticas;
— cultura de la organización;
— normas, directrices y modelos adoptados por la organización;
— capacidades, entendidas en términos de recursos y conocimientos de capital (por ejemplo,
tiempo, personas, propiedad intelectual, procesos, sistemas y tecnologías);
— datos, sistemas de información y flujos de información;
— las relaciones con los grupos de interés internos, teniendo en cuenta sus percepciones y valores;
— contractual relaciones y compromisos;
— interdependencias e interconexiones.

5.4.2 Articular el compromiso de gestión de riesgos

los órganos de gestión y de control principales, en su caso, debe demostrar y articular su compromiso
continuo para la gestión de riesgos a través de una política, una declaración u otras formas que
transmiten claramente los objetivos y el compromiso de una organización para la gestión de riesgos.
El compromiso debe incluir, pero no se limitan a:
— El propósito de la organización para la gestión de riesgos y enlaces a sus objetivos y otras políticas;
— reforzando la necesidad de integrar la gestión de riesgos en la cultura general de la organización;
— que conduce a la integración de la gestión de riesgos en las actividades propias del negocio y la toma de
decisiones;
— autoridades, responsabilidades y deberes;
— fabricación los recursos necesarios;
— la forma en que los objetivos en conflicto se tratan;
— medición y presentación de informes en los indicadores de desempeño de la organización;

6 © ISO 2018 - Todos los derechos reservados

 ISO 31000: 2018 (E)

- revisión y mejora.
El compromiso de la gestión de riesgos debe ser comunicada dentro de una organización y para las
partes interesadas, según corresponda.

6.1.1 Asignación de roles organizacionales, autoridades, responsabilidades y

compromisos

La alta dirección y la superintendencia, en su caso, deben garantizar que las autoridades,

responsabilidades y compromisos para las funciones relevantes con respecto a la gestión de riesgos se
asignan y se comunican a todos los niveles de la organización, y debe:
— hincapié en que la gestión de riesgos es una responsabilidad fundamental;
— identificar a las personas que tienen la responsabilidad y la autoridad para gestionar los riesgos
(propietarios de los riesgos).

6.1.2 Distribuyendo recursos

La alta dirección y la superintendencia, en su caso, deben garantizar la asignación de recursos

adecuados para la gestión de riesgos, que pueden incluir, pero no están limitados a:
— la gente, habilidades, experiencia y competencia;
— procesos, métodos y herramientas de la organización que se utilizarán para la gestión del riesgo;
— procesos y procedimientos documentados;
— sistemas de información y gestión del conocimiento;
— desarrollo y formación profesional necesita.
La organización debería considerar las capacidades de los y las limitaciones de recursos, existentes.

6.1.3 El establecimiento de la comunicación y la consulta

La organización debe establecer un método aprobado para la comunicación y la consulta con el fin de
apoyar el marco y facilitar la aplicación efectiva de la gestión de riesgos. La comunicación implica el
intercambio de información con el público objetivo. Consulta también implica proporcionar
retroalimentación a los participantes con la expectativa de que contribuirá a dar forma y decisiones u
otras actividades. Comunicación y métodos de consulta y el contenido deben reflejar las expectativas
de los interesados, en su caso.
La comunicación y la consulta deben ser oportunas y garantizar que la información pertinente se
recoge, cotejada, sintetizado y compartido, según proceda, y se prevé que la retroalimentación y se
hacen mejoras.

6.2 Implementación
La organización debe aplicar el marco de la gestión de riesgos a través de:
— el desarrollo de un plan adecuado incluyendo el tiempo y los recursos;
— identificar dónde, cuándo y cómo los diferentes tipos de decisiones se hacen en toda la
organización, y por quién;
— modificación los procesos de toma de decisiones aplicables cuando sea necesario;
— asegurar que los acuerdos de la organización para la gestión de riesgos se entienden claramente
y se practican.

© ISO 2018 - Todos los derechos reservado 7

ISO 31000: 2018 (E)

La implementación exitosa del marco requiere la participación y el conocimiento de los interesados.

Esto permite a las organizaciones a abordar explícitamente la incertidumbre en la toma de decisiones,
al tiempo que garantiza que cualquier incertidumbre nuevo o posterior puede tenerse en cuenta que
se plantee.
Correctamente diseñado e implementado, el marco de gestión de riesgos se asegurará de que el
proceso de gestión de riesgos es una parte de todas las actividades de toda la organización, incluyendo
la toma de decisiones, y que los cambios en los contextos externos e internos se recoge de forma
adecuada.

5.6 Evaluación
Con el fin de evaluar la eficacia del marco de gestión de riesgos, la organización debe:
— Medir periódicamente el desempeño del marco de gestión de riesgos en relación con su propósito,
planes de implementación, indicadores y comportamiento esperado;
— determinar si sigue siendo adecuada para soportar la consecución de los objetivos de la organización.

5.7 Mejora

5.7.1 Adaptación
La organización debe supervisar continuamente y adaptar el marco de gestión de riesgos para hacer
frente a los cambios externos e internos. De este modo, la organización puede mejorar su valor.

5.7.2 la mejora continua

La organización debe mejorar continuamente la conveniencia, adecuación y eficacia del marco de gestión de
riesgos y la forma en que se integra el proceso de gestión de riesgos.
Como Se identifican brechas relevantes o las oportunidades de mejora, la organización debe
desarrollar planes y tareas y asignarlas a los responsables de la implementación. Una vez
implementado, estas mejoras deben contribuir a la mejora de la gestión de riesgos.

6 Proceso

6.1 General
El proceso de gestión de riesgos consiste en la aplicación sistemática de políticas, procedimientos y
prácticas a las actividades de comunicación y consultoría, estableciendo el contexto y la evaluación, el
tratamiento, seguimiento, revisión, registro y comunicación de riesgos. Este proceso se ilustra en
Figura.

8 © ISO 2018 - Todos los derechos reservados

 ISO 31000: 2018 (E)

Figura 4 - Proceso

El proceso de gestión de riesgos debe ser una parte integral de la gestión y la toma de decisiones y se
integran en la estructura, operaciones y procesos de la organización. Puede ser aplicado a nivel
estratégico, operacional, programa o niveles del proyecto.
Puede haber muchas aplicaciones del proceso de gestión de riesgos dentro de una organización, a
medida para lograr los objetivos y para adaptarse al contexto externo e interno en el que se aplican.
La naturaleza dinámica y variable de la conducta humana y la cultura debe ser considerada en todo el
proceso de gestión de riesgos.
Aunque el proceso de gestión de riesgos se presenta a menudo como secuencial, en la práctica es
iterativo.

6.2 Comunicación y consulta

El propósito de la comunicación y la consulta es ayudar a las partes interesadas en la comprensión del
riesgo, la base sobre la cual se toman las decisiones y las razones por las que se requieren acciones
particulares. Comunicación pretende promover el conocimiento y la comprensión de los riesgos,
mientras que la consulta implica la obtención de retroalimentación e información para apoyar la toma
de decisiones. La estrecha coordinación entre los dos debería facilitar el intercambio de hecho,
oportuna, relevante, precisa y comprensible de información, teniendo en cuenta la confidencialidad e
integridad de la información, así como los derechos de privacidad de los individuos.
Comunicación y consulta con las partes interesadas externas e internas apropiadas deben tener lugar
dentro ya lo largo de todas las etapas del proceso de gestión de riesgos.
La comunicación y la consulta tiene como objetivo:
— aportan diferentes áreas de experiencia juntos para cada paso del proceso de gestión de riesgos;
— asegurar que los distintos puntos de vista se consideran apropiada la hora de definir los criterios de
riesgo y en la evaluación de riesgos;

— proporcionar información suficiente para facilitar la supervisión del riesgo y la toma de decisiones;

— © ISO 2018 - Todos los derechos reservado 9

ISO 31000: 2018 (E)
— construir un sentido de inclusión y pertenencia entre los afectados por el riesgo.

6.3 Ámbito de aplicación, el contexto y los criterios

6.3.1 General
El propósito de establecer el alcance, el contexto y los criterios es para personalizar el proceso de
gestión de riesgos, lo que permite la evaluación del riesgo y el tratamiento eficaz de riesgos adecuada.
Alcance el contexto y criterios de aplicación, implican la definición del alcance del proceso, y la
comprensión del contexto externo e interno.

6.3.2 Definir el alcance

La organización debe definir el alcance de sus actividades de gestión de riesgos.
Como el proceso de gestión del riesgo se puede aplicar a diferentes niveles (por ejemplo, estratégica,
operacional, programa, proyecto, u otras actividades), es importante tener claro el alcance bajo
consideración, los objetivos pertinentes para ser considerados y su alineamiento con los objetivos de
la organización.
Al planificar el enfoque, las consideraciones incluyen:
— los objetivos y las decisiones que deben hacerse;
— los resultados que se esperan de los pasos a seguir en el proceso;
— hora, lugar, inclusiones y exclusiones específicas;
— riesgos apropiada herramientas y técnicas de evaluación;
— Los recursos necesarios, responsabilidades y registros a conservar;
— relaciones con otros proyectos, procesos y actividades.

6.3.3 Contexto Externo e interno

El contexto externo e interno es el entorno en el que la organización busca definir y lograr sus
objetivos.
El contexto del proceso de gestión de riesgos debe establecerse a partir de la comprensión de la
entorno externo e interno en el que opera la organización y debe reflejar el entorno específico de la
actividad a la que el proceso de gestión de riesgos se va a aplicar.
Comprender el contexto es importante porque:
— la gestión de riesgos se lleva a cabo en el contexto de los objetivos y actividades de la organización;
— factores de organización pueden ser una fuente de riesgo;
— el propósito y el alcance del proceso de gestión de riesgos pueden estar interrelacionados con los
objetivos de la organización como un todo.
La organización debe establecer el contexto externo e interno del proceso de gestión del riesgo teniendo en
cuenta los factores mencionados en el 5.4.1.

6.3.4 La definición de los criterios de riesgo

La organización debe especificar la cantidad y el tipo de riesgo que puede o no tener, en relación con
los objetivos. También debe definir los criterios para evaluar la importancia del riesgo y para apoyar
los procesos de toma de decisiones. Los criterios de riesgo deben estar alineados con el marco de
gestión de riesgos y personalizar para el propósito específico y el alcance de la actividad bajo
consideración. Los criterios de riesgo deben reflejar los valores, objetivos y recursos de la organización
y ser coherentes con las políticas y declaraciones

10 © ISO 2018 - Todos los derechos reservados

 ISO 31000: 2018 (E)

sobre la gestión de riesgos. Los criterios deben definirse teniendo en cuenta las obligaciones de la
organización y las opiniones de los interesados.
Si bien se deben establecer criterios de riesgo al inicio del proceso de evaluación de riesgos, que son
dinámicos y deben ser revisados y modificados continuamente, si es necesario.
Para establecer los criterios de riesgo, lo siguiente debe ser considerado:
— la naturaleza y el tipo de incertidumbres que pueden afectar a los resultados y objetivos
(tangibles e intangibles);
— cómo consecuencias (tanto positivos como negativos) y de probabilidad se definirán y medidos;
— factores relacionados con el tiempo;
— coherencia en el uso de las mediciones;
— cómo el nivel de riesgo es que se determine;
— cómo las combinaciones y secuencias de serán tomadas en cuenta múltiples riesgos;
— la capacidad de la organización.

6.4 Evaluación de riesgos

6.4.1 General
La evaluación del riesgo es el proceso general de identificación de riesgos, análisis de riesgos y
evaluación de riesgo.
La evaluación del riesgo debe llevarse a cabo de forma sistemática, de forma iterativa y en
colaboración, sobre la base de los conocimientos y opiniones de los interesados. Se debe utilizar la
mejor información disponible, acompañada de la consulta según sea necesario.

6.4.2 Identificación de riesgo

El propósito de la identificación de riesgos es encontrar, reconocer y describir los riesgos que podrían
ayudar a prevenir o una organización para lograr sus objetivos. información pertinente, adecuada y
actualizada es importante en la identificación de riesgos.
La organización puede usar una serie de técnicas para la identificación de incertidumbres que pueden
afectar uno o más objetivos. Los siguientes factores, y la relación entre estos factores, deben ser
considerados:
— fuentes tangibles e intangibles de riesgo;
— causas y eventos;
— amenazas y las oportunidades;
— vulnerabilidades y capacidades;
— cambios en el contexto externo e interno;
— indicadores de los riesgos emergentes;
— la naturaleza y el valor de los bienes y recursos;
— consecuencias y su impacto en los objetivos;
— limitaciones del conocimiento y la fiabilidad de la información;
— factores relacionados con el tiempo;
— prejuicios, suposiciones y creencias de los involucrados.

© ISO 2018 - Todos los derechos reservado 11

ISO 31000: 2018 (E)

La organización debe identificar los riesgos, ya sean o no sus fuentes están bajo su control. Se debe
considerar que puede haber más de un tipo de resultado, que puede resultar en una variedad de
consecuencias tangibles e intangibles.

6.4.3 Análisis de riesgo

El propósito del análisis de riesgo es de comprender la naturaleza del riesgo y sus características,
incluyendo, en su caso, el nivel de riesgo. El análisis de riesgos implica una consideración detallada
de las incertidumbres, riesgos, consecuencias, fuentes probabilidad, eventos, escenarios, controles y
su eficacia. Un evento puede tener múltiples causas y consecuencias y puede afectar a múltiples
objetivos.
El análisis de riesgos puede llevarse a cabo con diferentes grados de detalle y complejidad,
dependiendo de la finalidad del análisis, la disponibilidad y fiabilidad de la información y los recursos
disponibles. Las técnicas de análisis pueden ser cualitativos, cuantitativos o una combinación de éstos,
dependiendo de las circunstancias y el uso previsto.
El análisis de riesgos debe tener en cuenta factores tales como:
— la probabilidad de eventos y consecuencias;
— la naturaleza y la magnitud de las consecuencias;
— complejidad y conectividad;
— relacionada con el tiempo factores y volatilidad;
— la eficacia de los controles existentes;
— sensibilidad y los niveles de confianza.
El análisis de riesgos puede estar influenciada por cualquier divergencia de opiniones, prejuicios,
percepciones de riesgo y juicios. influencias adicionales son la calidad de la información utilizada, los
supuestos y exclusiones hechas, las limitaciones de las técnicas y la forma en que se ejecutan. Estas
influencias deben ser considerados, documentado y comunicado a los tomadores de decisiones.
Altamente eventos inciertos pueden ser difíciles de cuantificar. Esto puede ser un problema cuando
se analizan los acontecimientos con consecuencias graves. En tales casos, utilizando una combinación
de técnicas generalmente proporciona una mayor penetración.
El análisis de riesgos proporciona una entrada a la evaluación de riesgos, a las decisiones sobre si el
riesgo tiene que ser tratada y la forma, y de la estrategia y los métodos de tratamiento de riesgo más
apropiado. Los resultados proporcionan información para las decisiones, que se toman las decisiones,
y las opciones implican diferentes tipos y niveles de riesgo.

6.4.4 Evaluación de riesgo

El propósito de la evaluación de riesgos es apoyar las decisiones. La evaluación del riesgo implica la
comparación de los resultados del análisis de riesgo con los criterios de riesgo establecidos para
determinar dónde se requiere una acción adicional. Esto puede conducir a una decisión de:
— hacer nada más;
— considerar las opciones de tratamiento del riesgo;
— emprenda un nuevo análisis para entender mejor el riesgo;
— mantener controles existentes;
— reconsiderar objetivos.
Las decisiones deben tener en cuenta el contexto más amplio y las consecuencias reales y percibidos
a las partes interesadas externas e internas.

12 © ISO 2018 - Todos los derechos reservados

 ISO 31000: 2018 (E)

El resultado de la evaluación de riesgos debe ser registrada, comunicada y después valida en los
niveles apropiados de la organización.

6.5 El tratamiento del riesgo

6.5.1 General

El propósito del tratamiento del riesgo es seleccionar e implementar opciones para

abordar el riesgo. tratamiento del riesgo implica un proceso iterativo de:
— la formulación y selección de las opciones de tratamiento del riesgo;
— la planificación y ejecución del tratamiento del riesgo;
— evaluación de la eficacia de dicho tratamiento;
— decidir si el riesgo restante es aceptable;
— si no es aceptable, teniendo tratamiento adicional.

6.5.2 La selección de las opciones de tratamiento del riesgo

Selección de la opción de tratamiento más adecuada del riesgo (s) implica equilibrar los beneficios
potenciales derivados en relación con el logro de los objetivos contra los costes, esfuerzo o desventajas
de la aplicación.
Opciones de tratamiento del riesgo no son necesariamente excluyentes entre sí o apropiado en todas
las circunstancias. Las opciones para el tratamiento del riesgo pueden implicar uno o más de los
siguientes:
— evitando el riesgo al decidir no iniciar o continuar con la actividad que da lugar al riesgo;
— tomando o aumentando el riesgo con el fin de perseguir una oportunidad;
— eliminación de la fuente de riesgos;
— cambiando la probabilidad;
— el cambio de las consecuencias;
— compartiendo el riesgo (por ejemplo, a través de contratos, compra de seguros);
— retención el riesgo por decisión informada.
Justificación para el tratamiento del riesgo es más amplio que únicamente consideraciones
económicas y debe tener en cuenta todas las obligaciones de la organización, compromisos voluntarios
y opiniones de los interesados. La selección de las opciones de tratamiento de riesgo debe hacerse de
acuerdo con los objetivos de la organización, los criterios de riesgo y los recursos disponibles.
Al seleccionar las opciones de tratamiento de riesgos, la organización debería considerar los valores,
percepciones y posible participación de las partes interesadas y los medios más adecuados para
comunicarse y consultar con ellos. Aunque igualmente eficaces, algunos tratamientos de riesgo
pueden ser más aceptable para algunos grupos de interés que a otros.
tratamientos de riesgo, incluso si cuidadosamente diseñado e implementado puede no producir los
resultados esperados y podría producir consecuencias no deseadas. Monitoreo y revisión necesidad
de ser una parte integral de la aplicación del tratamiento del riesgo de dar seguridad de que las
diferentes formas de tratamiento se vuelven y siguen siendo eficaces.
El tratamiento del riesgo también puede introducir nuevos riesgos que deben ser gestionados.
© ISO 2018 - Todos los derechos reservado 13
ISO 31000: 2018 (E)

Si no hay opciones de tratamiento disponibles o si las opciones de tratamiento no modifican

suficientemente el riesgo, el riesgo debe ser registrado y mantenerlo bajo revisión en curso.
Los tomadores de decisiones y otras partes interesadas deben ser conscientes de la naturaleza y el
alcance del riesgo que queda después del tratamiento del riesgo. El riesgo restante debe ser
documentado sometido a seguimiento, revisión y, en su caso, el tratamiento adicional.

6.5.3 Preparación y ejecución de los planes de tratamiento de riesgo

El propósito de los planes de tratamiento del riesgo es especificar cómo serán implementadas las
opciones de tratamiento elegido, por lo que los arreglos son entendidos por las personas involucradas,
y el progreso contra el plan pueden ser monitoreados. El plan de tratamiento debe identificar
claramente el orden en el que el tratamiento del riesgo se debe implementar.
Los planes de tratamiento deberían integrarse en los planes y procesos de gestión de la organización, en
consulta con las partes interesadas pertinentes.
La información proporcionada en el plan de tratamiento debe incluir:
— la justificación de la selección de las opciones de tratamiento, incluyendo los beneficios que se espera
obtener;
— aquellos que son responsables de la aprobación e implementación del plan;
— las acciones propuestas;
— los recursos necesarios, incluyendo contingencias;
— las medidas de rendimiento;
— las limitaciones;
— la presentación de informes y monitoreo requerido;
— cuando se espera que las acciones a realizar y completado.

6.6 Monitoreo y revisión

El propósito del monitoreo y la revisión es asegurar y mejorar la calidad y eficacia de los procesos de
diseño, implementación y los resultados. La supervisión continua y la revisión periódica del proceso
de gestión de riesgos y sus resultados deben ser una parte planificada del proceso de gestión de riesgos,
con responsabilidades claramente definidas.
Monitoreo y revisión debe tener lugar en todas las etapas del proceso. Seguimiento y revisión incluye la
planificación, la recopilación y análisis de información, registrar los resultados y proporcionar información.
Los resultados del monitoreo y la revisión deben incorporarse en todas las actividades de gestión del
rendimiento, medición e información de la organización.

6.7 Registro y la comunicación

El proceso de gestión de riesgos y sus resultados deben ser documentados y reportados a través de
mecanismos apropiados. El registro y la presentación de informes tiene por objeto:
— comunicar las actividades de gestión de riesgo y resultados en toda la organización;
— proporcionar información para la toma de decisiones;
— mejorar las actividades de gestión de riesgos;
— ayudar la interacción con las partes interesadas, incluidos los que tienen la responsabilidad y la
rendición de cuentas para las actividades de gestión de riesgos.
14 © ISO 2018 - Todos los derechos reservados
 ISO 31000: 2018 (E)

Las decisiones relativas a la creación, retención y manejo de la información documentada deberían

tener en cuenta, pero no se limitan a: su uso, la sensibilidad de la información y el contexto externo e
interno.
Los informes son una parte integral de gobierno de la organización y debe mejorar la calidad del
diálogo con las partes interesadas y apoyar a la alta dirección y los órganos de control en el
cumplimiento de sus responsabilidades. Los factores a considerar para informar incluir, pero no se
limitan a:
— difiriendo los interesados y sus necesidades y requerimientos específicos de información;
— costo, frecuencia y puntualidad de los informes;
— método de presentación de informes;
— relevancia de la información a los objetivos de la organización y la toma de decisiones.

© ISO 2018 - Todos los derechos reservado 15

ISO 31000: 2018 (E)

Bibliografía

[1] IEC 31010, Gestión de Riesgos - técnicas de evaluación de riesgos

16 © ISO 2018 - Todos los derechos reservados

ISO 31000: 2018 (E)

ICS 03.100.01
Precio basado en 16 páginas

© ISO 2018 - Todos los derechos reservados