~~ ( r[) 7J{t ~

NORMA TECNICA NTC-ISO

COLOMBIANA 31000

GESTION DEL RIESGO.

PRINCIPIOS Y DIRECTRICES

.~~~

icontec
internacional
esta norma es una adopci6n identica
(lOT) por traducci6n de la norma
ISO 31000:2009.

Editada por el Instituto Colombiano de Normas Tecnicas y Certificaci6n (ICONTEC)

Apartado 14237 Bogota, D.C. - Tel. (571) 6078888 - Fax (571) 2221435
EI Instituto Colombia no de Normas Tecnicas y Certificaci6n, ICONTEC, es el organismo
nacional de normalizaci6n, segun el Decreto 2269 de 1993.

ICONTEC es una entidad de carckter privado, sin animo de lucro, cuya Misi6n es fundamental
para brindar soporte y desarrollo al productor y protecci6n al consumidor. Colabora con el
sector gubernamental y apoya al sector privado del pars, para lograr ventajas competitivas en
los mercados interno yexterno.

La representaci6n de todos los seotores involucract0.s en el proceso de Normalizaci6n Tecnica

esta garantizada por los Comites Tecnicos y el p [rodo de Consulta Publica, este ultimo
caracterizado por la participac' n del publico en general.

Esta norma esta sujeta ser actualiza a permanenteme te c n

todo momenta a s necesidades y exigen ias actuales.

Ademas de las anteriores, en Con

siguientes empresas:

ADAMS CADBURY CAJAS Y SUPLEMENTOS

AEROVIAS DEL CONTINENTE AMERICANO CAMARA DE COMERCIO DE BOGOTA
SA -AVIANCA SA- CENTRO COMERCIAL CHIPICHAPE
AJOVER SA CHAIN VARGAS
ALiCO COLOMBIA SEGUROS DE VIDA SA CHALLENGER S.A.
ARP SEGUROS BOLIVAR CJE SUPPLIES LTDA.
ASETRANS LTDA. COLCHONES NUEVO MILENIO
ASOCIACION COLOMBIANA DE COMPANIA AGRICOLA DE SEGUROS DE
CONTINUIDAD DEL NEGOCIO VIDA S.A.
ATESA SA E.S.P. COMPANIA DE SEGUROS BOLIVAR S.A.
CAJA DE COMPENSACION FAMILIAR DE COMPANIA MUNDIAL DE SEGUROS S.A.
FENALCO - SECCIONAL QUINDIO COMPUCABLESNUGERLTDA.
CONCALIDAD LTDA. ORGANISMO NACIONAL DE
COOPERA TIVA DE LOS TRABAJADORES ACREDITACION DE COLOMBIA
DEL INSTITUTO DE SEGUROS SOCIALES ORGANIZACION TERPEL
CRUZ ROJA SECCIONAL CUNDINAMARCA OVERSIGHT SAS. RISK CONSULTING &
Y BOGOTA RISK MANAGEMENT SERVICES
DECEVAL S.A. PARQUES Y FUNERARIA SA JARDINES
DELOITTE COLOMBIA DEL RECUERDO
EMPRESA IBAGUERENA DE ACUEDUCTO PEREZ Y VILLA S.A.
Y ALCANTARILLADO PETROTESTING COLOMBIA SA
EMPRESAS PUBLICAS DE MEDELLIN E.SP. POLIPROPILENO DEL CARIBE SA
ENCLAN SA POSITIVA COMPANIA DE SEGUROS SA
ENLACE OPERATIVO SA PROCESS CONSULTANTS, INC.
ESCUELA COLOMBIANA DE INGENIERIA SUCURSAL COLOMBIA -PCIB-
FENALCO PRODUCTORES DE SEGUROS DE
FIDUCOLOMBIA SA SOCIEDAD FIDUCIARIA ANTIOQUIA ANPROSEGUROS
SA CORREDORES DE SEGUROS SA
FUNDACION UNIVERSITARIA AGRARIA DE PROFESIONALES EN DEPORTE -PRODEPORT
COLOMBIA -ESPECIAUZACION EN SISTEMAS LTDA.-
DE GESTION DE LA CAUDAD- PROTECCION
GESCOPLTDA. PROTEGIENDO BFR SA
GESTION & ESTRATEGIA SAS. REDES HUMANAS SA
GRUPO ATLAS DE SEGURIDAD INTEGRAL SEGUROS BOLIVAR
HOSPITAL SANTA MARGARITA E.S.E. SEGUROS DE VIDA ALFA SA
ILURAM SA SEGUROS DE VIDA COLPATRIA SA
INDUSTRIA FARMACEUTICA SYNTOFARMA SA . SERFUNORTE
INFOCOMUNICACIONES LTDA. SERVICIO OCCIDENTAL DE SALUD SA
JARDINE LLOYD THOMPSON VALENCIA & SETELCOM LTDA.
IRAGORRI CORREDORES DE SEGUROS SA SIS SA SERVICIOS INTEGRALES DE
JM INGENIERIA LTDA. SEGUROS Y SEGURIDAD SOCIAL
KPMG SURATEP
LA PREVISORA SA COMPANIA DE SURTIDORA DE GAS DEL CARIBE SA ESP.
SEGUROS TEAM FOODS COLOMBIA SA
L1NALCA SA TECFIN INTERNATIONAL SA
MAPFRE SEGUROS GENERALES DE TECSEGUROS S.A. CORREDORES DE
COLOMBIA SA SEGUROS
MATPEL DE COLOMBIA SA TERPEL
MAUDT TOTAL SEGUROS CIA. ASESORES DE
MEGALITE LTDA. SEGUROS LTDA.
MERCK SA TRANSPORT ADORA DE VALORES ATLAS
MINISTERIO DE COMERCIO, INDUSTRIA Y UNIVERSIDAD SANTIAGO DE CALI
TURISMO VICEPRESIDENCIA DE RIESGOS
MINISTERIO DE TRANSPORTE LABORALES DEL INSTITUTO DE SEGUROS
MUNICIPIO DE MEDELLIN - SECRETARIA SOCIALES NIVEL NACIONAL BOGOTA D.C.
DE EVALUACION Y CONTROL WilLIS COLOMBIA CORREDORES DE
OCCIDENTAL DE COLOMBIA INC SEGUROS SA

ICONlEC cuenta con un Centro de Informacion que pone a disposicion de los interesados
normas internacionales, regionales y nacionales y otros documentos relacionados.
4. MAR 0 DE RE ERENCIA ..................••.••••••••••.••...................•..............................11

4.1

4.2 12

4.3

4.4 .

4.5

4.6 MEJORA CONTINU

5. PROCESO ....••..•••......• . 16

5.1 GENERALIDADES 16

5.2 COMUNICACION Y CONSULTA 17

5.3 ESTABLECIMIENTO DEL CONTEXTO 18

5.4 VALORACION DEL RIESGO 21

5.5 TRATAMIENTO DEL RIESGO 22

5.6 MONITOREO Y REVISION 24

5.7 REGISTRO DEL PROCESO PARA LA GESTION DEL RIESGO 25

ANEXO A (Informativo)
ATRIBUTOS DE LA GESTION MEJORADA DEL RIESGO 26

Figura 1. Relaciones entre 105 principios, el marco de referencia

y 105 procesos para la gestion del riesgo 3

Figura 2. Relacion entre 105 componentes del marco de referencia

para la gestion del riesgo 11
GESTION DEL RIESGO.
PRINCIPIOS Y DIRECTRICES

Las organizaciones de todo f 0 Y tamano enfrentan fact res e influencias, internas y externas,
que crean incertidumbre sobr si ellas lograran 0 n sus objetivos. EI efecto que esta
incertidumbre tiene e s objetivo de una organizaci6n s el ·esgo".
I

Aunque to s las orga izaciones gesti an el riesgo en algu grado, es norma establece un
numero de p . cipios ue e necesario tisfacer para hac r que I gesti6n del riesgo sea
eficaz. Esta no a recomie da que las or anizaciones des rrolle" implementen y mejoren
continuamente un ar 0 de referencia cuyo p p6sito sea in eg r el proceso para la gesti6n
del riesgo en los proc os gl bales de gobierno, trategia y p~nificaci6n, gesti6n, procesos de
presentaci6n de informes, po iticas, valores y cultur e la organizaci6n.

La gesti6n del riesgo se puooe aplicar a toda la orgalllzaci6n, en todas sus muchas areas y
niveles, en cualquier momento, si como a funciones royectos y actividades especfficos.

Aunque la practica de la gesti6n I riesgo se I'\a desarrollado con el paso del tiempo y en
muchos sectores para satisfacer divers-a ecesidades, la adopci6n de procesos consistentes
dentro de un marco de referencia exhaustivo puede ayudar a garantizar que el riesgo se
gestiona eficaz, eficiente y coherentemente en toda la organizaci6n. EI enfoque generico que
se describe en esta norma suministra los principios y las directrices para la gesti6n de cualquier
forma de riesgo en una manera sistematica, transparente y creible, y en cualquier alcance y
contexto.

Cada sector especffico 0 cada aplicaci6n de la gesti6n del riesgo traen consigo necesidades,
audiencias, percepciones y criterios individuales. Por 10 tanto, una caracterfstica clave de esta
norma es la inclusi6n del "establecimiento del contexto" como una actividad al inicio de este
proceso generico para la gesti6n del riesgo. AI establecer el contexto se capturaran los
objetivos de la organizaci6n, el entorno en el cual ella persigue sus objetivos, sus partes
involucradas y la diversidad de criterios de riesgo; todo en conjunto ayudara a revelar y evaluar
la naturaleza y la complejidad de sus riesgos.
La relaci6n entre los principios para la gesti6n del riesgo, el marco de referencia en el cual esta
sucede y los procesos de gesti6n del riesgo descritos aquf se ilustra en la Figura 1.

Cuando la gesti6n del riesgo se implementa y se mantiene de acuerdo can esta norma, dicha
gesti6n Ie permite a la organizaci6n, entre otros:

cumplir can los requisitos legales y reglamentarios pertinentes y can las normas
internacionales;

Esta norma esta destinada a satisfacer las necesidades de un rango amplio de partes
imiolucradas, incluyendo:

a) aquellos responsables del desarrollo de la polftica de gesti6n del riesgo dentro de la

organizaci6n;

b) aquellos responsables de garantizar que el riesgo se gestiona eficazmente dentro de la

organizaci6n como unidad a dentro de un area, proyecto a actividad especfficos;

c) aquellos que necesitan evaluar la eficacia de una organizaci6n en cuanto a la gesti6n

del riesgo; y

d) aquellos que desarrollan normas, gUlas, procedimientos y c6digos de practica que,

parcial a totalmente, establecen la manera de gestionar el riesgo dentro del contexto
especffico de estos documentos.
En muchas organizaciones las practicas y procesos actuales para la gesti6n incluyen
componentes de la gesti6n del riesgo y muchas organizaciones ya han adoptado un proceso
formal para la gesti6n del riesgo para tipos particulares de riesgos 0 circunstancias. En tales
casos, una organizaci6n puede decidir realizar una revisi6n critica de sus practicas y procesos
existentes a la luz de esta norma.

En esta norma, se usan las expresiones "gesti6n del riesgo" y "gestionar el riesgo". En terminos
generales, la "gesti6n del riesgo" se refiere a la arquitectura (principios, marco y procesos) para
la gesti6n eficaz del riesgo, mientras que "gestionar el riesgo" se refiere a la aplicaci6n de esa
arquitectura a riesgos particulares.

Esta norma puede ser utilizada PQr cualq ier empresa publica, privada 0 comunitaria,
asociaci6n, grupo 0 individuo. Por 10 tan 0, 0 es especffica para ninguna industria 0 sector.

NOTA Para prop6sitos de conveniencia, se hace referencia a todos los diversos usuarios de esta norma con el
termino general de "organizaci6n".

Esta norma se puede aplicar durante toda la duraci6n de una organizaci6n y a un amplio rango
de actividades, incluyendo estrategias y decisiones, operaciones, procesos, funciones,
proyectos, productos, servicios y activos.

Esta norma se puede aplicar a cualquier tipo de riesgo, cualquiera sea su naturaleza, bien sea
que tenga consecuencias positivas 0 negativas.
Aunque esta norma suministra directrices genericas, no se pretende promover la uniformidad
de la gesti6n del riesgo en todas las organizaciones. Sera necesario que el disefio y la
implementaci6n de planes y marcos de referencia para la gesti6n del riesgo tomen en
consideraci6n las diversas necesidades de una organizaci6n especifica, sus objetivos
particulares, contexto, estructura, operaciones, procesos, funciones, proyectos, productos,
servicios 0 activos, y las practicas especificas empleadas.

Se pretende que esta norma sea utilizada para armonizar los procesos de la gesti6n del riesgo
en las normas existentes y futuras. Suministra un enfoque comun en apoyo de las normas que
tratan con riesgos, sectores especfficos, 0 ambos, y no reemplaza a tales normas.

NOTA 2 Los objetivos pueden tener aspectos diferentes (por ejemplo financieros, salud y seguridad, y metas
ambientales) y se pueden aplicar en niveles diferentes (estrategico, en toda la organizaci6n, en proyectos, productos
y procesos).

NOTA 3 A menudo el riesgo esta caracterizado por la referencia a los eventos (vease el numeral 2.17) potenciales
y las consecuencias (vease el numeral 2.18) 0 a una combinaci6n de ellos.

NOTA 4 Con frecuencia. el riesgo se expresa en terminos de una combinaci6n de las consecuencias de un evento
(incluyendo los cambios en las circunstancias) y en la probabilidad (Likelihood) (vease el numeral 2.19) de que
suceda.

NOTA 5 Incerlidumbre es el estado, incluso parcial, de deficiencia de informaci6n relacionada con la comprensi6n
o el conocimiento de un evento, su consecuencia 0 probabilidad.

2.2 Gesti6n del riesgo. Actividades coordinadas para dirigir y controlar una organizaci6n con
respecto al riesgo (vease el numeral 2.1).

2.3 Marco de referencia para la gesti6n del riesgo. Conjunto de componentes que brindan
las bases y las disposiciones de la organizaci6n para disefiar, implementar, monitorear (vease
el numeral 2.28), revisar y mejorar continuamente la gesti6n del riesgo (vease el numeral 2.2)
a traves de toda la organizaci6n.

NOTA 1 Las bases incluyen la politica, los objetivos, el comando y el compromiso para gestionar el riesgo (vease
el numeral 2.1).

NOTA 2 Las disposiciones de la organizaci6n incluyen planes, relaciones, rendici6n de cuentas (Accountability),
recursos, procesos y actividades.

NOTA 3 EI marco de referencia para la gesti6n del riesgo esta incluido en las polfticas y practicas estrategicas y
operacionales globales de la organizaci6n.
2.4 Politica para la gestion del riesgo. Declaraci6n de la direcci6n y las intenciones generales
de una organizaci6n con respecto a la gestion del riesgo (vease el numeral 2.2).

2.5 Actitud hacia el riesgo. Enfoque de la organizaci6n para evaluar y eventualmente buscar,
retener, tomar 0 alejarse del riesgo (vease el numeral 2.1).

2.6 Plan para la gestion del riesgo. Esquema dentro del marco de referencia para la
gestion del riesgo (vease el numeral 2.3) que especifica el enfoque, los componentes y los
recursos de la gesti6n que se van a aplicar ala gesti6n del riesgo (vease el numeral 2.1).

NOTA 1 Los componentes de la gesti6 comunme e incluyen procedimientos, practicas, asignaci6n de

responsabilidades, secuencia y oportunidad e las actividade

NOTA 2 EI plan para la gesti6n del nesgo se puede aplicar a roductos, procesos y proyectos particulares, y a
parte de la organizaci6n 0 su totalida .

2.7 Propietario deJ de go. Persona entidad con la respo

autoridad para 9 stiona un riesgo (vea el numeral 2.1).

del riesgo. A 'caci6 si tematica de as polfticas, los

procedi ientos y las racti as de gesti6n alas cti idades de comunicaci6n, consulta,
establec iento del contexto y de f entificaci6n, analis' , ev luaci6n, trata iento, monitoreo
(vease el meraI2.28) ~ revisi6n del lesgo (vease el numera 2.1).

2.9 Establecimient d I co texto. Definici6n e los param tr, s internos y externos que se
han de tomar en consl eraci 'n cuando se gestio el riesgo, y establecimiento del alcance y
los criterios del riesgo (ve se el numeral 2.22) pa la politica para la gestion del riesgo
(vease el numeral 2.4).

2.10 Contexto
objetivos.

el ambiente cultural, social, politico, legal, reglamentario, financiero, tecnol6gico, econ6mico, natural y
competitivo, bien sea internacional, nacional, regional 0 local;
2.11 Contexto interno. Ambiente interno en el cual la organizaci6n busca alcanzar sus
objetivos.

las capacidades, entendidas en terminos de recursos y conocimiento (por ejemplo capital, tiempo,
personas, procesos, sistemas y tecnologias);

sistemas de informaci6n, flujos de informaci6n y procesos para la toma de decisiones (tanto formales como
informales);

2.12 Comunicaci6n y consulta. Procesos continuos y reiterativos que una organizaci6n Ileva
a cabo para suministrar, com partir u obtener informaci6n e involucrarse en un dialogo can las
partes involucradas (vease el numeral 2.13) can respecto a la gesti6n del riesgo (vease el
numeral 2.1).

NOTA 1 La informaci6n se puede relacionar con la existencia, la naturaleza, la forma, la probabilidad (Likelihood)
(vease el numeral 2.19), el significado, la evaluaci6n, la aceptabilidad y el tratamiento de la gesti6n del riesgo.

NOTA 2 La consulta es un proceso de doble via de la comunicaci6n informada entre una organizaci6n y sus partes
involucradas, acerca de algun tema, antes de tomar una decisi6n 0 determinar una direcci6n para dicho tema. La
consulta es:

2.13 Parte involucrada. Persona u organizaci6n que puede afectar, verse afectada a
percibirse a sf misma como afectada par una decisi6n a una actividad.

2.14 Valoraci6n del riesgo. Proceso global de identificaci6n del riesgo (vease el numeral 2.15),
am'llisis del riesgo (vease el numeral 2.21) Y evaluaci6n del riesgo (vease el numeral 2.24).

2.15 Identificaci6n del riesgo. Proceso para encontrar, reconocer y describir el riesgo (vease
el numeral 2.1).

NOTA 1 La identificaci6n del riesgo implica la identificaci6n de las fuentes de riesgo (vease el numeral 2.16), los
eventos (vease el numeral 2.17), sus causas y sus consecuencias (vease el numeral 2.18) potenciales.
NOTA 2 La identificacion del riesgo puede involucrar datos historicos, analisis teoricos, opiniones informadas y
expertas, y las necesidades de las partes involucradas (vease el numeral 2.13).

2.16 Fuente de riesgo. Elemento que solo 0 en combinaci6n tiene el potencial intrf nseco de
originar un riesgo (vease el numeral 2.1).

NOTA 4 Tambien se puede hacer eferencia a un evento sin con ecuencias (vease el numeral 2.18) como un
"cuasi accidente", "incidente", "situacion e peligro" 0 "canato de accid nte
U

NOTA 1 En \a terminologia de I gestion del riesgo, la palabra " robabilidad (Likelihood)" se utiliza para hacer
referencia a la oportunidad de que a 0 suceda, esta 0 no definido, edido 0 determinado objetiva 0 subjetivamente,
cualitativa 0 cuantitativamente, y de crito utilizando tarminos enerales 0 matematicos (como la probabilidad
numerica (Probability) 0 la frecuencia en n periodo de tiempo terminado).

NOTA 2 EI termino ingles "Likelihood (prob i1idad)" n lene un equivalente directo en algunos idiomas; en lugar
de ello se utiliza el termino equivalente de "Pro a iffiy (probabilidad numerica Sin embargo en ingles "Probability"
con frecuencia se interpreta mas estrechamente como un termino matematico. Por 10tanto, en la terminologia de la
gestion del riesgo, "Likelihood' se usa con la intension d.e que tenga la misma interpretacion amplia que el termino
"probabilidad" en muchos idiomas diferentes del Ingles.

NOTA EI conjunto de riesgos puede contener aquellos que se relacionan con la organizacion en su totalidad, con
parte de la organizacion 0 segun otra definicion.
2.27 Riesgo residual
Riesgo (vease el numeral 2.1) remanente despues del tratamiento del riesgo (vease el
numeral 2.25).

2.28 Monitoreo. Verificaciol1, observaci6 crftica 0 determinacion continua del

estado con el fin de identifi con respect al nivel de desempeno exigido 0
esperado.

NOTA la ge ti6 del riesgo (vease el numeral 2.3),

al proceso para la o (veasa a umeral 2.1) 0 al control (vease
el numeral 2.26).

NOTA La visi6n sa pua e aplicar al marco e referencia para la gestio" del riesgo vease el numeral 2.3), al
proceso para I esti6n de riesg (vaasa al nu ral 2.8), al riesgo (vea a al numa 2.1) 0 al control (vease el
numeral 2.26).

Para que la gestion del riesgo ea eficaz,

siguientes principios en todos los ni eles:

La gestion del riesgo contribuye al logro demostrable de los objetivos y a la mejora del
desempeno en, por ejemplo, la salud y la seguridad humana, la conformidad legal y
reglamentaria, la seguridad, la aceptacion publica, la proteccion del ambiente, la calidad
del producto, la gestion de proyectos, la eficiencia en las operaciones, el gobierno y la
reputacion.

b) La gestion del riesgo es una parte integral de todos los procesos de la

organizacion

La gestion del riesgo no es una actividad independiente que se separa de las

actividades y los procesos principales de la organizacion. La gestion del riesgo es parte
de las responsabilidades de la direcci6n y una parte integral de todos los procesos de la
organizaci6n, incluyendo la planificaci6n estrategica y todos los procesos de gesti6n de
proyectos y de cambio.

La gesti6n del riesgo ayuda a quienes toman las decisiones a hacer elecciones
informadas, priorizar acciones y distinguir entre cursos de acci6n alternativos.

La gesti6n del riesgo toma en consideraci6n explfcitamente a la incertidumbre, su

naturaleza y la forma en que se puede tratar.

Un enfoque sistematico, oportuno y estructurado para la gesti6n del riesgo contribuye a

la eficiencia y a resultados consistentes, com parables y confiables.

Las entradas para el proceso de gesti6n del riesgo se basan en fuentes de informaci6n
tales como datos hist6ricos, experiencia, retroalimentaci6n de las partes involucradas,
observaci6n, previsiones y examen de expertos. Sin embargo, quienes toman las
decisiones deberfan informarse y tomar en consideraci6n todas las Iimitaciones de los
datos 0 de los modelos utilizados, 0 la posibilidad de divergencia entre los expertos.

La gesti6n del riesgo se alinea del contexto externo e interno y del perfil de riesgo de la
organizaci6n.

La gesti6n del riesgo reconoce las capacidades, percepciones e intenciones de

individuos externos e internos, los cuales pueden facilitar 0 dificultar el logro de los
objetivos de la organizaci6n.

La correcta y oportuna intervenci6n de las partes involucradas y, en particular, de

aquellos que toman las decisiones en todos los niveles de la organizaci6n, garantiza
que la gesti6n del riesgo siga siendo pertinente y se actualice. Esta intervenci6n tambien
permite a las partes involucradas estar correctamente representadas y hacer que sus
puntos de vista se tomen en consideraci6n al determinar los criterios del riesgo.

La gesti6n del riesgo siente y responde continuamente al cambio. A medida que se

presentan los eventos externos e internos, el contexto y el conocimiento cambian, tienen
lugar el monitoreo y la revisi6n de los riesgos, emergen riesgos nuevos, algunos
cambian y otros desaparecen.
 Las organizaciones deberfan desarrollar e implementar estrategias para mejorar la
madurez de su gesti6n de riesgos junto can todos los otros aspectos de su
organizaci6n.

EI Anexo A suministra asesorfa adicional para las organizaciones que requieren gestionar el
riesgo mas eficazmente.

EI exito de la gesti6n del riesgo deF' ndera e la eficacia del marco de referencia para la
gesti6n, el cual brinda las bases y s disposicione que se introduciran en todos los niveles de
la organizaci6n. EI marco ayuda a la gesti6n efica del riesgo a traves de la aplicaci6n del
proceso para la gesti6n del riesgo (vease el numeral en los diversos niveles y en contextos
especfficos de la organizaci' . EI marco garantiza q e la informaci6n acerca del riesgo
derivada del proceso para la 9 sti6n del riesgo se repo e de manera adecuada y se utilice
como base para la a de de isiones la rendici6 d cuentas en tad as los niveles
pertinentes de la or a i:zaci6n.

iseno del marco de rete ncia para la gestion del riesgo (4. )
E tender a la organlzaclo y su contexto (4.3.1)
E?ltablecer la poiftlca para gestion del riesgo ( .3.
RI:mdicl6n de cuentas (4.3.3)
Ifjtegraci6n de los procesos de I organizacion ( .3.4)
R,ecursos (4.3.5)
Establecer mecanlsmos para la com 'cacion interna
y I presentaci6n de informes (4.3.6)
Esta lecer mecanismos para la com
y la pr entaci6n de Informes (4. . )

Implementar la gestion del riesgo (4.4)

Implementar la aplicacion del marco
Mejora continua del marco de referencia
para la gestion del riesgo (4.4.1)
(4.6)
Implementar el proceso para la
gestion del riesgo (4.4.2)
Este marco de referencia no tiene como finalidad prescribir un sistema de gesti6n sino facilitar a
la organizaci6n la integraci6n de la gesti6n del riesgo en su sistema de gesti6n global. Por 10
tanto, las organizaciones deberfan adaptar los componentes del marco a sus necesidades
especfficas.

Si las prckticas y procesos de gesti6n existentes de la organizaci6n incluyen componentes de

la gesti6n del riesgo, 0 si la organizaci6n ya ha adoptado un proceso formal para la gesti6n del
riesgo para tipos particulares de riesgos 0 situaciones, entonces estos se deberfan revisar y
valorar de forma crftica frente a esta norma, incluyendo los atributos del Anexo A, con el fin de
determinar su eficacia y conveniencia.

La introducci6n de la gesti6n del riesgo, y garantizar su eficacia continua, requiere de un

compromiso fuerte y sostenido por parte de la direcci6n de la organizaci6n, asf como de
planificaci6n estrategica y rigurosa para lograr el compromiso a todo nivel. La direcci6n deberfa:

garantizar que la cultura de la organizaci6n y la politica para la gesti6n del riesgo estan
alineadas;

determinar indicadores del desempeno de la gesti6n para el riesgo que esten acordes
con los indicadores del desempeno de la organizaci6n;

alinear los objetivos de la gesti6n del riesgo con los objetivos y las estrategias de la
organizaci6n;

asignar obligaciones y responsabilidades en los niveles respectivos dentro de la

organizaci6n;

Antes de empezar el diseno y la implementaci6n del marco de referencia para la gesti6n del
riesgo, es importante evaluar y entender el contexto, tanto externo como interne de la
organizaci6n, dado que este puede tener influencia significativa en el diseno de dicho marco.

a) el ambiente social y cultural, politico, legal, reglamentario, financiero, tecnol6gico,

econ6mico, natural y competitivo, bien sea internacional, nacional, regional 0 local;
 capacidades, entendidas en terminos de recursos y conocimiento (por ejemplo capital,
tiempo, personas, procesos, sistemas y tecnologias);

sistemas de informaci6n, flujos de informaci6n y procesos de toma de decisiones (tanto

formales como informales);

el compromiso para po er a disposici6n los re rsos necesarios con el fin de ayudar a

los responsables de la ges i6n del riesgo y rendir cuentas con respecto a esta;

el compromiso para revisar y mejorar peri6dicamente la polftica y el marco de la gesti6n

del riesgo y en respuesta a un evento 0 un cambio en las circunstancias. La polftica
para la gesti6n del riesgo se deberfa comunicar de manera adecuada.

La organizaci6n deberfa garantizar que existe responsabilidad, autoridad y competencia

adecuada para gestionar el riesgo, incluyendo la implementaci6n y mantenimiento del proceso
para la gesti6n del riesgo y garantizando la idoneidad, eficacia y eficiencia de todos los
controles. Esto se puede facilitar mediante:
 la identificaci6n de los propietarios del riesgo a quienes corresponde rendir cuentas y
tienen autoridad para su gesti6n;

la identificaci6n de quien debe dar cuentas par el desarrollo, la implementaci6n y el

mantenimiento del marco para la gesti6n del riesgo;

la identificaci6n de otras responsabilidades en ~I proceso para la gesti6n del riesgo de

los individuos en todos los niveles de la organizaci6n;

estableciendo la medici6n del desempeno y procesos de escalamiento y reporte

externo, interno, a ambos; y

La gesti6n del riesgo deberfa estar incluida en todas las practicas y los procesos de la
organizaci6n en una manera que sea pertinente, eficaz y eficiente. EI proceso para la gesti6n
del riesgo se deberfa convertir en parte, no independiente, de los procesos de la organizaci6n.
En particular, la gesti6n del riesgo se deberfa incluir en el desarrollo de la polftica, la
planificaci6n estrategica y del negocio, la revisi6n y en los procesos de gesti6n del cambia.

Deberfa existir un plan para la gesti6n del riesgo a todo 10 ancho de la organizaci6n para
garantizar que se implementa la polftica para la gesti6n del riesgo y que la gesti6n del riesgo
esta incluida en todas las practicas y los procesos de la organizaci6n. EI plan para la gesti6n
del riesgo se podrfa integrar en otros planes de la organizaci6n, par ejemplo en el plan
estrategico.

los procesos, metodos y herramientas de la organizaci6n que se van a utilizar para

gestionar el riesgo;

4.3.6 Establecer mecanismos para la comunicaci6n interna y la presentaci6n de

informes

La organizaci6n deberfa establecer mecanismos para la comunicaci6n interna y la presentaci6n

de informes can el fin de ayudar y fomentar la rendici6n de cuentas y la pertenencia del riesgo.
 los componentes clave del marco para la gestion del riesgo y todas las modificaciones
posteriores se comunican de manera correcta;

la informacion pertinente derivada de la aplicacion de la gestion del riesgo esta

disponible en los niveles y los momentos convenientes; y

Estos mecanismos deberfan incluir, cuando as! corresponda, los procesos para consolidar la
informacion del riesgo proveniente de dive.r.sasfuentes, y puede ser necesario que consideren
la sensibilidad de la informacion.

4.3.7 Establecer mecanisme

informes

La organizacion deberfa desarr Iar e implementar un pia sobre la forma como se comunicara
con las partes involuc Ias extern . EI plan deberia inel ir:

involucra apropif3damente las p

efectiv Clela inf@rmacion;

Estos mecanismos 'eb rian incluir, euando aSI orresponda, 10 procesos para consolidar la
informacion del riesgo ,rovemiente de diversas fue tes, y pue e ser necesario que consideren
la sensibilidad de la informacl6n.

AI implementar el marco de referencia de la organizacion para la gestion del riesgo, la

organizacion deberfa:

definir el tiempo y la estrategia adecuados para la implementacion del marco de

referencia;

aplicar el proceso y la politica para la gestion del riesgo a los procesos de la

organizacion;

garantizar que la toma de decisiones, incluyendo el desarrollo y establecimiento de

objetivos, esta en linea con los resultados de los procesos para la gestion del riesgo;
 comunicarse y consultar a las partes involucradas para garantizar que el marco para la
gesti6n del riesgo sigue siendo adecuado.

La gesti6n del riesgo se deberia implementar garantizando que el proceso para la gesti6n del
riesgo que se describe en el numeral 5 se aplica a traves de un plan para la gesti6n del riesgo
en todos los niveles y las funciones pertinentes de la organizaci6n como parte de sus practicas
y procesos.

Con el fin de garantizar que la gesti6n del riesgo es eficaz y continua sustentando el
desempeno de la organizaci6n, la organizaci6n deberia:

medir el desempeno de la gesti6n del riesgo frente a los indicadores, los cuales se
revisan peri6dicamente para determinar su idoneidad;

medir peri6dicamente el progreso frente al plan para la gesti6n del riesgo y las
desviaciones con respecto a este;

revisar peri6dicamente si el marco de referencia, la politica y el plan para la gesti6n del

riesgo siguen siendo adecuados, segun el contexto externo e interno de la organizaci6n;

presentar informes sobre el riesgo, el progreso con el plan para la gesti6n del riesgo y
sobre que tanto se cumple la polftica para la gesti6n del riesgo; y

Con base en los resultados del monitoreo y las revisiones, se deberian tomar decisiones sobre
la forma en que se podrian mejorar el marco de referencia, la polftica y el plan para la gesti6n
del riesgo. Estas decisiones deberfan originar mejoras en la gesti6n del riesgo de la
organizaci6n y en su cultura de la gesti6n del riesgo.

EI proceso comprende las actividades que se describen en los numerales 5.2 al 5.6. EI proceso
para la gesti6n del riesgo se ilustra en la Figura 3.
Por 10 tanto, se ebenan d sarrollar tempra mente los pi ne para la comunicaci6n y la
consulta. Estos deber' n ab rdar aspectos ~elaci ados con ~ propio riesgo, sus causas, sus
consecuencias (si se conoce ), y las medidas que toman para tratarlo. Es conveniente que
tengan lugar la comunicaci6 y las consultas externas internas eficaces para garantizar que
aquellos responsables de la i plementaci6n del proces para la gesti6n del riesgo y las partes
involucradas entiendan las bas sobre las cuales toman las decisiones, y las razones por
las cuales se requieren acciones p icll,la res.

garantizar que se entienden y se toman en consideraci6n los intereses de las partes

involucradas;

garantizar que los diversos puntos de vista se toman en consideraci6n adecuadamente

al definir los criterios del riesgo y al evaluar los riesgos;
 fomentar la gesti6n adecuada del cambio durante el proceso para la gesti6n del riesgo;
y

La comunicaci6n y la consulta con las partes involucradas son importantes dado que ellas dan
sus opiniones acerca del riesgo con base en sus percepciones de este. Estas percepciones
pueden variar debido alas diferencias en los valores, las necesidades, las asunciones, los
conceptos y los intereses de las partes involucradas. Dado que sus puntos de vista pueden
tener un impacto significativo en las decisiones que se toman, las percepciones de las partes
involucradas se deberfan identificar, registrar y tomar en consideraci6n en el proceso de toma
de decisiones.

La comunicaci6n y la consulta deberfan facilitar los intercambios de informaci6n veraz,

pertinente, precisa y facil de entender, teniendo en cuenta los aspectos de la integridad
personal y confidencial.

AI establecer el contexto, la organizaci6n articula sus objetivos, define los parametros externos
e internos que se van a considerar al gestionar el riesgo y establece el alcance y los criterios
del riesgo para el resto del proceso. Aunque muchos de estos parametros son similares a
aquellos que se consideran en el disefio del marco de referencia para la gesti6n del riesgo
(vease el numeral 4.3.1), al establecer el contexto del proceso para la gesti6n del riesgo, es
necesario que estos parametros se consideren en mayor detalle y, en particular, la manera
como se relacionan con el alcance del proceso para la gesti6n del riesgo particular.

EI contexto externo es el ambiente externo .en el cual la organizaci6n busca alcanzar sus
objetivos.

Entender el contexto externo es importante con el fin de garantizar que los objetivos y las
preocupaciones de las partes involucradas externas se toman en consideraci6n al desarrollar
los criterios del riesgo. Esto se basa en el contexto a todo 10 ancho de la organizaci6n, pero con
detalles especfficos de los requisitos legales y reglamentarios, las percepciones de las partes
involucradas y otros aspectos de los riesgos especfficos para el alcance del proceso para
gestionar el riesgo.

el ambiente social y cultural, politico, legal, reglamentario, financiero, tecnol6gico,

econ6mico, natural y competitivo, bien sea internacional, nacional, regional 0 local;

los impulsores clave y las tendencias que tienen impacto en los objetivos de la
organizaci6n; y
EI contexto interno es el ambiente interno en el cual la organizaci6n busca alcanzar sus
objetivos.

EI proceso para la gesti6n del riesgo deberfa estar alineado con la cultura, los procesos, la
estructura y la estrategia de la organizaci6n. EI contexto interno es todo aquello dentro de la
organizaci6n que pueda tener influencia en la forma en que la organizaci6n gestionara el
riesgo. Este contexto se debe establecer porque:

los objetivos y los criterios de un proyecto, proceso 0 actividad en particular se deberian

considerar a la luz de los objetivos de la organizaci6n como un todo; y

algunas organizaciones fr asan en ree ocer las oportunidades para alcanzar sus
objetivos estrategicos, d I proyeeto 0 el n ocio, y esto afecta la continuidad del
compromiso, la credibi ·C1ad,la eonfianza y el va r de la organizaci6n.
~\

info macl6n, f1ujos de info aci6n y procesos d toma de decisiones (tanto

i form les);

Se recomienda establecer los objetivos, las estrategias, el alcance y los parametros de las
actividades de la organizaci6n, 0 de aquellas partes de la organizaci6n en donde se aplica el
proceso para la gesti6n del riesgo. La gesti6n del riesgo se deberia emprender con total
consideraci6n de la necesidad de justificar los recursos utilizados para Ilevar a cabo dicha
gesti6n. Tambien se deberfan especificar los recursos necesarios, las responsabilidades y
autoridades, y los registros que se deben conservar. .

EI contexto del proceso para la gesti6n del riesgo variara de acuerdo con las necesidades de la
organizaci6n. Este contexto puede involucrar, entre otros:
 definici6n de las responsabilidades del proceso para la gesti6n del riesgo y dentro de
este;

definici6n del alcance, asf como de la profundidad y extensi6n de las actividades de

gesti6n del riesgo que se van a lIevar a cabo, incluyendo las exclusiones e inclusiones
especfficas;

definir actividad, proceso, funci6n, proyecto, producto, servicio 0 activo en terminos de

tiempo y ubicaci6n;

definici6n de las relaciones entre el proyecto, el proceso 0 la actividad particulares y

otros proyectos, procesos 0 actividades de la organizaci6n;

identificaci6n, establecimiento del alcance 0 el marco de los estudios necesarios, su

extensi6n y objetivos, y los recursos necesarios para tales estudios.

La atenci6n a estos y otros factores importantes deberfa ayudar a garantizar que el enfoque
para la gesti6n del riesgo que se ha adoptado es el adecuado para las circunstancias, la
organizaci6n y los riesgos que afectan el logro de sus objetivos.

La organizaci6n deberfa definir los criterios que se van a utilizar para evaluar la importancia del
riesgo. Los criterios deberfan reflejar los valores, objetivos y recursos de la organizaci6n.
Algunos criterios pueden estar impuestos por 10 requisitos legales y reglamentarios 0 derivarse
de ellos y de otros requisitos a los cuales la organizaci6n se suscribe. Los criterios del riesgo
deberfan ser consistentes con la polftica para la gesti6n del riesgo de la organizaci6n (vease el
numeral 4.3.2), estar definidos al comienzo de todo proceso para la gesti6n del riesgo y ser
revisados continuamente.

AI definir los criterios del riesgo, los factores que se van a considerar deberfan inciuir los
siguientes:

la naturaleza y los tipos de causas y consecuencias que se pueden presentar y la forma

en que se van a medir;

si se deberfa 0 no tener en cuenta combinaciones de riesgos multiples y, si es asf, c6mo

y cuales combinaciones se deberfan considerar.
La valoraci6n del riesgo es el proceso total de identificaci6n del riesgo, analisis del riesgo y
---
,--

r
evaluaci6n del riesgo.

La organizaci6n deberfa identificar las fuentes de riesgo, las areas de impacto, los eventos
(incluyendo los cambios en las circunstancias) y sus causas y consecuencias potenciales. EI
objeto de esta fase es generar una lista exhaustiva de riesgos con base en aquellos eventos
que podrian crear, aumentar, preven' ,ctegra ,acelerar 0 retrasar el logro de los objetivos.
Es importante identificar los riesg s asociados a la no busqueda de una oportunidad. La
identificaci6n exhaustiva es criti porque un riesgo que no se identifique en esta fase no sera
incluido en el anal isis posterio .

EI analisis del riesgo involucra la consideraci6n de las causas y las fuentes de riesgo, sus
consecuencias positivas y negativas, y la probabilidad de que tales consecuencias puedan
ocurrir. 5e deberfan identificar los factores que afectan alas consecuencias y a la probabilidad.
EI riesgo es analizado determinando las consecuencias y su .probabilidad, y otros atributos del
riesgo. Un evento puede tener consecuencias mUltiples y puede afectar a objetivos multiples.
Tambien se deberian considerar los controles existentes y su eficacia y eficiencia.

La forma en la cual las consecuencias y la probabilidad se expresan y la forma en la cual ellas

se combinan para determinar un nivel de riesgo deberia reflejar el tipo de riesgo, la informaci6n
disponible y el prop6sito para el cual se va a usar la salida de la valoraci6n del riesgo. Todo
esto deberia ser consistente con los criterios del riesgo. Tambien es importante considerar la
interdependencia de los diferentes riesgos y sus origenes.
La confianza en la determinaci6n del nivel de riesgo y su sensibilidad alas precondiciones y
asunciones se deberfa considerar en el analisis y comunicar eficazmente a quienes taman las
decisiones y, segun correspond a, a otras partes involucradas. Factores tales como la
divergencia de opini6n entre los expertos, la incertidumbre, la disponibilidad, la calidad, la
cantidad y la pertinencia continua de la informaci6n, alas Iimitantes en el modelado se
deberian establecer y se pueden enfatizar.

EI analisis del riesgo se puede realizar can diversos grados de detalle, dependiendo del riesgo,
el proposito del analisis y la informacion, datos y recursos disponibles. EI analisis puede ser
cualitativo, semicuantitativo a cuantitativo, a una combinacion de elias, dependiendo de las
circunstancias.

Las consecuencias y su probabilidad se pueden determinar modelando los resultados de un

evento a grupo de eventos, a mediante extrapolacion a partir de estudios experimentales a de
los datos disponibles. Las consecuencias se pueden expresar en terminos de impactos
tangibles e intangibles. En algunos casas, se requiere mas de un valor numerico a descriptor
para especificar las consecuencias y su probabilidad en diferentes momentos, lugares, grupos
a situaciones.

EI proposito de la evaluacion del riesgo es facilitar la toma de decisiones, basad a en los

resultados de dicho analisis, a acerca de cuales riesgos necesitan tratamiento y la prioridad
vara la implementacion del tratamiento.

La evaluaci6n del riesgo implica la comparaci6n del nivel de riesgo observado durante el
proceso de analisis y de los criterios del riesgo establecidos al considerar el contexto. Can base
en esta comparacion, se puede considerar la necesidad de tratamiento.

En las decisiones se deberia tener en cuenta el contexto mas amplio del riesgo e incluir
consideracion de la tolerancia de los riesgos que acarrean otras partes diferentes de la
organizacion que se benefician de los riesgos. Las decisiones se deberfan tamar de acuerdo
can los requisitos legales, reglamentarios y otros.

En algunas circunstancias, la evaluacion del riesgo puede lIevar a la decision de emprender un

analisis adicional. La evaluacion del riesgo tambien puede tener como resultado la decision de.
no tratar el riesgo de ninguna manera diferente del mantenimiento de los controles existentes.
Esta decision estara influida par la actitud de la organizacion hacia el riesgo y par los criterios
del riesgo que se han establecido.

EI tratamiento del riesgo involucra la seleccion de una a mas opciones para modificar los
riesgos y la implementacion de tales opciones. Una vez implementado, el tratamiento
suministra controles alas modifica.
Las opciones para el tratamiento del riesgo no necesariamente son mutuamente excluyentes ni
adecuadas en todas las circunstancias. Las opciones pueden incluir las siguientes:

compartir el riesgo co' una 0 varias

financiacion del riesgo), "¥.

I tratamiento ya sea
puede beneficiar de la

AI seleccionar las opciones p~ra tratar el riesgo, la or: nizacion deberfa considerar los valores
y las percepciones de las partes involucradas, y las v~as as adecuadas para comunicarse con
ellos. Cuando las opciones pa tratar el riesgo pued tener impacto en el riesgo en otras
partes de la organizacion 0 para ras partes involu adas, estas opciones se deberfan incluir
en la decision. Aunque tienen igual ficacia, alg os tratamientos para el riesgo pueden ser
mas aceptables para algunas partes inv lucr.adas que para otras.

EI plan de tratamiento deberfa identificar claramente el orden de prioridad en el cual se

deberfan implementar los tratamientos individuales para el riesgo.

EI tratamiento en sf mismo puede introducir riesgos. Un riesgo significativo puede ser la falla 0
la ineficacia de las medidas del tratamiento. Es necesario que el monitoreo sea parte integral
del plan de tratamiento del riesgo para garantizar que las medidas sigan siendo eficaces.

EI tratamiento tambie:!n puede introducir riesgos secundarios que es necesario valorar, tratar,
monitorear y revisar. Estos riesgos secundarios se deberian incorporar en el mismo plan de
tratamiento definido para el riesgo original y no se deberian tratar como riesgos nuevos. Es
recomendable identificar y mantener el vinculo entre los dos riesgos.
El prop6sito de los planes para el tratamiento del riesgo es documentar la forma en que se van
a implementar las opciones de tratamiento seleccionadas. La informaci6n suministrada en los
planes de tratamiento deberfa incluir:

las razones para la selecci6n de las opciones de tratamiento, que incluyan los
beneficios que se espera obtener;

Los planes de tratamiento se deberfan integrar con los procesos de gesti6n de la organizaci6n
y se deberian discutir con las partes involucradas pertinentes.

Los encargados de tomar las decisiones y otras partes involucradas deberian conocer la
naturaleza y la extensi6n del riesgo residual despues del tratamiento del riesgo. EI riesgo
residual se deberfa documentar y someter a monitoreo, revisi6n y, cuando asf corresponda, a
tratamiento adicional.

Tanto el monitoreo como la reedici6n deberfa ser una parte planificada del proceso para la
gesti6n del riesgo e incluir verificaci6n 0 vigilancia regulares. Pueden ser peri6dicos 0 segun
convenga.

Los procesos de monitoreo y revisi6n de la organizaci6n deberian comprender todos los

aspectos del proceso para la gesti6n del riesgo con el fin de:

garantizar que los controles son eficaces y eficientes tanto en el diserio como en la
operaci6n;

analizar y aprender lecciones a partir de los eventos (incluyendo los cuasi accidentes),
los cambios, las tendencias, los exitos y los fracasos;

detectar cambios en el contexto externo e interno, incluyendo los cambios en los

criterios del riesgo y en el riesgo mismo que puedan exigir revisi6n de los tratamientos
del riesgo y las prioridades; y
EI avance en la implementaci6n de los planes para tratamiento del riesgo suministra una
medida de desempeiio. Los resultados se pueden incorporar en las actividades globales de
gesti6n del desempeiio, medici6n y reporte externo e interno de la organizaci6n.

Los resultados del monitoreo y la revisi6n se deberian registrar y reportar interna y

externamente segun corresponda, y se deberfan utilizar como una entrada para la revisi6n del
marco de referencia para la gesti6n del riesgo (vease el numeral 4.5).

Las actividades para la gesti6n del riesgo deberfan tener trazabilidad. En el proceso para la
gesti6n del riesgo, los registros brindan la base para la mejora de los metodos y las
herramientas, asf como del proceso global.
 ANEXOA
(Informativo)

Todas las organizaciones deberfan tener como meta el nivel adecuado de desemperio de su
marco de referencia para la gesti6n del riesgo en concord ancia con la importancia crftica de las
decisiones que se deben tomar. La Iista de atributos que se indica a continuaci6n representa un
nivel alto de desemperio en la gesti6n del riesgo. Para ayudar alas organizaciones a medir su
propio desemperio en comparaci6n con estos criterios, se brindan algunos indicadores
tangibles para cada atributo.

Se hace enfasis en la mejora continua de la gesti6n del riesgo a traves del establecimiento de
las metas de desemperio de la organizaci6n, la medici6n, revisi6n y modificaci6n posterior de
procesos, sistemas, recursos, capacidad y habilidades.

EI indicador podrfa ser la existencia de metas explfcitas de desemperio en comparaci6n con las
cuales se mide el desemperio de la organizaci6n y del director individual. EI desemperio de la
organizaci6n se puede publicar y comunicar .. Normalmente, habra por 10 menos una revisi6n
anual del desempeno, despues una revisi6n de los procesos, y luego el establecimiento de
objetivos revisados de desemperio para el perfodo siguiente.

La valoraci6n del desemperio de la gesti6n del riesgo es una parte integral de la valoraci6n
global del desemperio de la organizaci6n y del sistema de medici6n para los departamentos y
los individuos.

La gesti6n mejorada del riesgo incluye la rendici6n de cuentas exhaustiva, totalmente definida y
aceptada de los riesgos, los controles y las tareas para el tratamiento del riesgo: Los individuos
asignados aceptan totalmente la responsabilidad, tienen las habilidades adecuadas y los
recursos pertinentes para verificar los controles, monitorear los riesgos, mejorar los controles y
comunicarse eficazmente acerca de los riesgos y su gesti6n con las partes involucradas
externas e intern as.

EI indicador podrfa estar constituido por todos los miembros de una organizaci6n que conocen
total mente los riesgos, los controles y las labores de las cuales son responsables.
Normalmente, la responsabilidad estara registrada en las descripciones del trabajo 0 el cargo,
en las bases de datos 0 los sistemas de informaci6n. La definici6n de las funciones,
obligaciones y responsabilidades en la gestion del riesgo deberfa ser parte de los programas
de induccion de la organizacion

La organizacion garantiza que los responsables estan equipados para cumplir esa funcion
brindandoles la autoridad, el tiempo, el entrenamiento, los recursos y las habilidades suficientes
para asumir sus obligaciones.

La toma de decisiones en la organizacion, independientemente del nivel de importancia y

significado, involucra la consideracion explfcita de los riesgos y la aplicacion, en algun grado,
de la gestion de riesgos.

EI indicador podria consistir en registros de las reuniones y las decisiones que muestren que
tuvieron lugar las discusiones explfcita sobre riesgos. Ademas, deberia ser posible ver que ,....
todos los componentes de la gestio ctelriesgo es' representados en los procesos clave para
la toma de decisiones en la org fIIzaci6n, par ejemp para las decisiones sobre asignacion de
capital 0 proyectos principale y sobre los cambios d estructurales y organizacionales. Por
estas razones, una base so t a para la gesti6n del rie go se considera en la organizacion
aquella que brinda las bases pa el gobiemo eficaz.

EI reporte exhaustiv
sobre el desempefio la 9
dentro de la organizacion.

La gestion del riesgo se considera p os procesos de gestion de la organizacion,

de modo que los riesgos estan consid dos terminos del efecto de la incertidumbre en los
objetivos. La estructura y los procesos de gobierno se basan en la gestion del riesgo. La
gestion eficaz del riesgo es considerada por los directores un factor esencial para el logro de
los objetivos de la organizacion.

EI indicador podria ser el ienguaje de los directores y el material escrito importante en la

organizacion que utiliza el termino "incertidumbre" en conexi on con los riesgos. Este atributo
tambien esta reflejado normalmente en las declaraciones de la polltica de la organizacion, en
particular las que se relacionan con la gestion del riesgo. Normalmente, este atributo se
verificaria a traves de entrevistas con los directores y a traves de la evidencia de sus actos y
declaraciones.
[1] ISO Guide 73:2009, Risk Management. Vocabulary.

[2] ISO/IEG 31010, Risk Management. Risk Assessment Techniques.

INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. Risk Management. Principles
and Guidelines. Geneva: ISO, 2009, 24p (ISO flEe 31000:2009 (E)).
INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. Risk Management. Principles
and Guidelines. Geneva: ISO, 2009, 24p (ISO flEe 31000:2009 (E)).

~
j