Especificación EA 0031
Siste a de gestión del riesgo
Editada e impresa por AENOR Depósito legal: M 20566:2013 © AENOR Julio 2013 Reproducción prohibida 29 Páginas
AS OBSERVACIONES OBSERVACIONES A ESTE ESTE DOCUMENTO DOCUMENTO HAN DE DIRI IRSE A:
Génova, 28004 M DRID-España
[email protected] www.aenor.es
T l.: 902 102 201 F x: 913 104 032
AENOR autoriza el uso interno de este documento a DANIEL SILVA GARCIA
AENOR autoriza el uso interno de este documento a DANIEL SILVA GARCIA
EA 0031:2013
ÍNDICE Página 0 0.1 0.2
INTRODUCCIÓN ........................................................................................................ 5 Generalidades ................................................................................................ ............................................................................................................ ............ 5 Principios generales en la l a gestión del riesgo ........................................................ ........................................................ 6
1
OBJETO Y CAMPO C AMPO DE APLICACIÓN ...................................................................... ...................................................................... 7
2
NORMAS PARA CONSULTA .................................................................................... .................................................................................... 7
3
TÉRMINOS Y DEFINICIONES ................................................................................... 7
4 4.1 4.2 4.3 4.4 4.4.1 4.4.2 4.4.3 4.4.4
SISTEMA DE GESTIÓN DEL RIESGO .................................................................... 11 Establecimiento del contexto................................................................................. 11 Necesidades y expectativas de los grupos de interés de la l a organización ....... 12 Determinación del alcance y los requisitos del sistema de gestión del riesgo .............................................................................................. .............................................................................................. 12 Requisitos de la documentación ........................................................................... ........................................................................... 13 Generalidades ................................................................................................ .......................................................................................................... .......... 13 Manual de Gestión del Riesgo ............................................................................... 13 Control de los documentos.................................................................................... 13 Control de los registros .......................................................................................... 14
5 5.1 5.2 5.3 5.3.1 5.3.2 5.4 5.4.1 5.4.2 5.5 5.5.1 5.5.2 5.6 5.6.1 5.6.2
RESPONSABILIDAD POR LA DIRECCIÓN DIR ECCIÓN............................................................ 14 Compromiso de la dirección .................................................................................. 14 Política de gestión del riesgo................................................................................. 14 Planificación ............................................................................................................ 15 Objetivos, metas y programas de gestión del riesgo .......................................... 15 Planificación del sistema de gestión del riesgo .................................................. 15 Responsabilidad y autoridad ................................................................................. 16 Generalidades ................................................................................................ .......................................................................................................... .......... 16 Representante de la dirección ............................................................................... ............................................................................... 16 Comunicación e información ................................................................................. 16 Comunicación e información interna .................................................................... 16 Comunicación e información externa. .................................................................. .................................................................. 17 Revisión por la dirección................................................................................ ........................................................................................ ........ 17 Información de entrada a la revisión ..................................................................... 17 Resultados de la revisión ....................................................................................... 18
6 6.1 6.2 6.3
RECURSOS .............................................................................................................. .............................................................................................................. 18 Generalidades ................................................................................................ .......................................................................................................... .......... 18 Competencia, formación y toma de conciencia ................................................... 18 Infraestructura ......................................................................................................... ......................................................................................................... 19
7 7.1 7.2 7.3 7.3.1 7.3.2 7.3.3 7.4
PROCESO DE GESTIÓN DEL RIESGO .................................................................. 19 Generalidades ................................................................................................ .......................................................................................................... .......... 19 Identificación del riesgo ......................................................................................... ......................................................................................... 19 Evaluación del riesgo ......................................................................................... ............................................................................................. .... 20 Definición de los criterios de riesgo ..................................................................... 20 Análisis del riesgo.................................................................................................. .................................................................................................... 21 Evaluación del riesgo ......................................................................................... ............................................................................................. .... 21 Tratamiento del riesgo ............................................................................................ 21
-3AENOR autoriza el uso interno de este documento a DANIEL SILVA GARCIA
EA 0031:2013
7.5 7.6 7.7
Control del riesgo.................................................................................................... 22 Preparación y respuesta ante incidentes ............................................................. 23 Recuperación ante una interrupción de la actividad de la organización .......... 23
8 8.1 8.2 8.3 8.4 8.4.1 8.4.2 8.5 8.6
MEDICIÓN, ANÁLISIS Y MEJORA .......................................................................... 24 Generalidades .......................................................................................................... 24 Seguimiento y medición de las actividades de gestión del riesgo.................... 24 Análisis de datos ..................................................................................................... 24 Investigación de sucesos e incidentes, no conformidad, acción correctiva y acción preventiva .................................................................. 24 Investigación de sucesos e incidentes ................................................................. 24 No conformidad, acción correctiva y acción preventiva .................................... 25 Auditoría interna...................................................................................................... 25 Mejora continua ....................................................................................................... 26
9
BIBLIOGRAFÍA ........................................................................................................ 26
ANEXO A (Informativo) CORRESPONDENCIA ENTRE EL SISTEMA DE GESTIÓN DEL RIESGO Y LA NORMA UNE-ISO 31000:2010 .................... 28
-4AENOR autoriza el uso interno de este documento a DANIEL SILVA GARCIA
EA 0031:2013
0 INTRODUCCIÓN 0.1 Generalidades Las organizaciones se enfrentan diariamente a escenarios cada vez más complejos y con mayores exigencias por parte de los grupos de interés, que provocan que el logro de los objetivos sea incierto. El efecto que esto produce es en sí el “riesgo”. Cualquier actividad conlleva un riesgo asociado, la clave está en conocer y poder gestionar la incertidumbre que existe sobre la consecución de los objetivos. Y para ello hay que identificar los riesgos a los que se expone la organización, evaluarlos, tratarlos, realizar el seguimiento y la revisión del riesgo y de los controles que lo modifican, para llevar a cabo una gestión del riesgo más eficaz, eficiente y coherente. Si bien los riesgos se han gestionado a lo largo del tiempo y en diferentes sectores, en muchos casos no se ha llevado a cabo de una manera sistemática y coherente. Esta especificación proporciona una base que establece un conjunto de requisitos que permiten a una organización desarrollar, implementar y mejorar de manera continua un sistema de gestión del riesgo, cuyo objetivo sea integrarse de forma eficaz en todos los procesos de la organización, así como en las políticas, los valores, la toma de decisiones y, en general, en la cultura existente. Con todo ello, se consiguen gestionar los riesgos globales que podrían crear, mejorar, prevenir, acelerar o retrasar el logro de los objetivos y asegurar eficazmente la sostenibilidad y la consecución de los objetivos de la organización. Dicha gestión debe llevarse a cabo con el objeto de que se puedan maximizar las oportunidades y minimizar las amenazas, logrando un equilibrio entre los costes y efectos de los controles y la modificación del riesgo. El enfoque genérico que se describe en esta especificación proporciona los requisitos para gestionar cualquier tipo de riesgo de una manera sistemática, transparente y fiable, dentro de cualquier alcance y de cualquier contexto. Los requisitos que establece esta especificación se pueden aplicar en organizaciones de cualquier tipo y tamaño, a todas sus áreas y niveles principales. Cada aplicación específica de la gestión del riesgo implica el conocer las necesidades, percepciones y criterios individuales de una organización, lo que nos lleva a que se comience analizando el contexto interno y externo que rodea a la organización, incluyéndose los objetivos, estrategias, grupos de interés y criterios del riesgo. Todo ello, contribuirá a identificar y evaluar la naturaleza y complejidad de sus riesgos, y por tanto, estar preparados para enfrentarse a ellos. Esta especificación establece un sistema de gestión del riesgo basado en la metodología conocida como Planificar - Hacer - Verificar - Actuar (PHVA), que se puede describir brevemente como: –
Planificar : establecer los objetivos y requisitos necesarios para conseguir resultados de acuerdo con la política de gestión del riesgo de la organización.
–
Hacer : implementar los requisitos.
–
Verificar : realizar el seguimiento y la medición de los requisitos respecto a la política de gestión del riesgo, los objetivos, las metas y los requisitos legales, reglamentarios y otros requisitos, e informar sobre los resultados.
–
Actuar : llevar a cabo acciones para mejorar continuamente el desempeño del sistema de gestión del riesgo.
El sistema de gestión del riesgo contenido en esta especificación compone una herramienta de gestión compatible e integrable con otros sistemas de gestión como ISO 9001:2008 (Sistema de Gestión de Calidad), ISO 14001 (Sistema de Gestión Ambiental), OHSAS 18001 (Sistema de Gestión de la Seguridad y Salud en el Trabajo), IQNet SR10 (Sistema de Gestión de la Responsabilidad Social), entre otros.
-5AENOR autoriza el uso interno de este documento a DANIEL SILVA GARCIA
EA 0031:2013
Esta especificación establece requisitos de carácter certificable. NOTA La Norma UNE-ISO 31000:2010 se ha establecido como base para llevar a cabo esta especificación, lo que no supone que la implantación y certificación de este sistema de gestión del riesgo implique la demostración de la conformidad con la Norma UNE-ISO 31000:2010.
0.2 Principios generales en la gestión del riesgo La gestión del riesgo se asienta sobre una serie de principios generales aplicables con independencia del tamaño de la organización, la naturaleza de las actividades que desarrolla, del contexto que les rodea o de otras características específicas. La organización debe respetar los siguientes principios generales que se desarrollan a continuación y que se encuentran alineados con los principios recogidos en la Norma UNE-ISO 31000, por los cuales la Gestión del Riesgo: a) Crea y protege el valor. b) Es una parte integral de todos los procesos de la organización. c) Es parte de la toma de decisión. d) Trata explícitamente la incertidumbre. e) Es sistemática, estructurada y oportuna. f) Se basa en la mejor información disponible. g) Se adapta. h) Integra los factores humanos y culturales. i) Es transparente y participativa. j) Es dinámica, iterativa y responde a los cambios. k) Facilita la mejora continua de la organización. NOTA Para más información sobre estos principios, véase la Norma UNE-ISO 31000:2010 Gestión del riesgo. Principios y directrices.
Además de los principios generales de gestión del riesgo descritos anteriormente, la organización debe respetar los siguientes principios relacionados con el sistema de gestión: a) Liderazgo: La dirección debe fomentar e involucrar a las personas para el logro de los objetivos de la organización por parte de los líderes. b) Enfoque a los grupos de interés: Conocer y considerar las necesidades y expectativas de sus grupos de interés. c) Eficiencia: Gestionar el riesgo con criterios de eficiencia, compatible con la creación de valor añadido y la repercusión en la mejora continua de la organización a medio y largo plazo. d) Adicionalidad: Integrar voluntariamente en la gestión y en la cultura de la organización, buenas prácticas que, además de establecer el cumplimiento del marco legal correspondiente, vayan más allá, y sin que ello pueda considerarse en momento alguno como una alternativa para obviar su cumplimiento. e) Transversalidad: Integración de la gestión del riesgo en el conjunto de las decisiones y acciones de la organización, entendiendo ésta como responsabilidad y misión compartida de toda la organización (no solo de los responsables directos del riego).
-6AENOR autoriza el uso interno de este documento a DANIEL SILVA GARCIA
EA 0031:2013
1 OBJETO Y CAMPO DE APLICACIÓN Esta especificación establece los requisitos para definir, implantar, mantener y mejorar un sistema de gestión del riesgo para ayudar a las organizaciones a minimizar aquellos riesgos de consecuencias negativas y maximizar aquellos de consecuencias positivas (oportunidades), mejorando su desempeño y teniendo en cuenta las diversas necesidades y expectativas de una organización y de los grupos de interés implicados. Esta especificación es de aplicación a cualquier tipo de organización, independientemente de su tamaño, del sector al que pertenezca y del contexto en el que desarrolle su actividad. Esta especificación es de aplicación a todas las actividades de la organización y considera cualquier tipo de riesgo, cualquiera que sea su naturaleza, tanto si sus consecuencias son positivas como negativas.
2 NORMAS PARA CONSULTA Los documentos que se citan a continuación son indispensables para la aplicación de esta norma. Únicamente es aplicable la edición de aquellos documentos que aparecen con fecha de publicación. Por el contrario, se aplicará la última edición (incluyendo cualquier modificación que existiera) de aquellos documentos que se encuentran referenciados sin fecha. UNE-ISO 31000:2010 Gestión del riesgo. Principios y directrices.
3 TÉRMINOS Y DEFINICIONES Para los fines de esta especificación, se aplican los términos y definiciones siguientes:
3.1 actitud ante el riesgo: Enfoque de la organización para apreciar un riesgo (3.20) y eventualmente buscarlo, retenerlo, tomarlo o rechazarlo. [UNE-ISO 31000:2010]
3.2 análisis del riesgo: Proceso que permite comprender la naturaleza del riesgo (3.20) y determinar el nivel de riesgo (3.14). NOTA 1 El análisis del riesgo proporciona las bases para la evaluación del riesgo (3.8) y para tomar las decisiones relativas al tratamiento del riesgo (3.23). NOTA 2 El análisis del riesgo incluye la estimación del riesgo.
[UNE-ISO 31000:2010]
-7AENOR autoriza el uso interno de este documento a DANIEL SILVA GARCIA
EA 0031:2013
3.3 consecuencia: Resultado de un suceso (3.22) que afecta a los objetivos. NOTA 1 Un suceso puede conducir a una serie de consecuencias. NOTA 2 Una consecuencia puede ser cierta o incierta y puede tener efectos positivos o negativos sobre la consecución de los objetivos. NOTA 3 Las consecuencias se pueden expresar de forma cualitativa o cuantitativa. NOTA 4 Las consecuencias iniciales pueden convertirse en reacciones en cadena.
[UNE-ISO 31000:2010]
3.4 contexto externo: Entorno externo en el que la organización busca alcanzar sus objetivos. NOTA El entorno externo puede incluir: –
el entorno cultural, social, político, legal, reglamentario, financiero, tecnológico, económico, natural y competitivo, a nivel internacional, nacional, regional o local;
–
los factores y las tendencias que tengan impacto sobre los objetivos de la organización; y
–
las relaciones con los grupos de interés (3.11) externas, sus percepciones y sus valores.
[UNE-ISO 31000:2010]
3.5 contexto interno: Entorno interno en el que la organización busca alcanzar sus objetivos. NOTA El contexto interno puede incluir: –
el gobierno, la estructura de la organización, las funciones y la obligación de rendir cuentas;
–
las políticas, los objetivos y las estrategias que se establecen para conseguirlo;
–
las capacidades, entendidas en términos de recursos y conocimientos (por ejemplo, capital, tiempo, personas, procesos, sistemas y tecnologías);
–
los sistemas de información, los flujos de información y los procesos de toma de decisiones (tanto formales como informales);
–
las relaciones con, y las percepciones y los valores de las partes interesadas internas;
–
la cultura de la organización;
–
las normas, las directrices y los modelos adoptados por la organización; y
–
la forma y amplitud de las relaciones contractuales.
[UNE-ISO 31000:2010]
3.6 criterios de riesgo: Términos de referencia respecto a los que se evalúa la importancia de un riesgo (3.20). NOTA 1 Los criterios de riesgo se basan en los objetivos de la organización, y en el contexto externo e interno. NOTA 2 Los criterios de riesgo se pueden obtener de normas, leyes, políticas y otros requisitos.
[UNE-ISO 31000:2010]
-8AENOR autoriza el uso interno de este documento a DANIEL SILVA GARCIA
EA 0031:2013
3.7 dueño del riesgo (gestor del riesgo): Persona o entidad que tiene la responsabilidad y autoridad para gestionar un riesgo (3.20). [UNE-ISO 31000:2010]
3.8 evaluación del riesgo: Proceso de comparación de los resultados del análisis del riesgo con los criterios de riesgo (3.6) para determinar si el riesgo (3.20) y/o su magnitud son aceptables o tolerables. NOTA La evaluación del riesgo ayuda a la toma de decisiones sobre el tratamiento del riesgo (3.23).
[UNE-ISO 31000:2010]
3.9 fuente del riesgo: Elemento que, por sí solo o en combinación con otros, presenta el potencial intrínseco de engendrar un riesgo (3.20). NOTA 1 Una fuente de riesgo puede ser tangible o intangible.
[UNE-ISO 31000:2010] NOTA 2 Como fuente del riesgo se consideran todos aquellos elementos denominados en multitud de publicaciones sobre gestión de riesgo “factores generadores de riesgo”.
3.10 gestión del riesgo: Actividades coordinadas para dirigir y controlar una organización en lo relativo al riesgo (3.20). [UNE-ISO 31000:2010]
3.11 grupo de interés (partes interesadas o stakeholders): Individuo o grupo que tiene interés en cualquier decisión o actividad de la organización. [UNE-ISO 26000:2012]
3.12 identificación del riesgo: Proceso que comprende la búsqueda, el reconocimiento y la descripción de los riesgos (3.20). NOTA 1 La identificación del riesgo implica la identificación de las fuentes de riesgo (3.9), los sucesos (3.22), sus causas y sus consecuencias (3.3) potenciales. NOTA 2 La identificación del riesgo puede implicar datos históricos, análisis teóricos, opiniones informadas y de expertos, así como necesidades de los grupos de interés (3.11).
[UNE-ISO 31000:2010]
3.13 incidente: Situación que puede dar, o podría dar lugar, a una interrupción, pérdida, emergencia o crisis. [ISO 22300:2012]
3.14 nivel de riesgo: Magnitud de un riesgo (3.20) o combinación de riesgos, expresados en términos de la combinación de las consecuencias (3.3) y de su probabilidad (3.17). [UNE-ISO 31000:2010]
-9AENOR autoriza el uso interno de este documento a DANIEL SILVA GARCIA
EA 0031:2013
3.15 perfil del riesgo: Descripción de cualquier conjunto de riesgos (3.20). NOTA El conjunto de riesgos puede incluir los riesgos relativos a toda la organización, a parte de la organización, o definirse de otra manera.
[UNE-ISO 31000:2010]
3.16 política de gestión del riesgo: Declaración de las intenciones y orientaciones generales de una organización en relación con la gestión del riesgo (3.10). [UNE-ISO 31000:2010]
3.17 probabilidad (likelihood ): Posibilidad de que algún hecho se produzca. NOTA 1 En la terminología de la gestión del riesgo, la palabra "probabilidad" se utiliza para indicar la posibilidad de que algún hecho se produzca, que esta posibilidad está definida, medida o determinada objetiva o subjetivamente, cualitativa o cuantitativamente, y descrita utilizando términos generales o de forma matemática (tales como una probabilidad o una frecuencia sobre un periodo de tiempo dado). NOTA 2 La palabra inglesa likelihood no tiene una equivalencia directa en algunos idiomas; en su lugar se utiliza con frecuencia la palabra probability (probabilidad). Sin embargo, en inglés la palabra probability se interpreta frecuentemente de forma más limitada como un término matemático. Por ello, en la terminología de la gestión del riesgo la palabra likelihood se utiliza con la misma interpretación amplia que tiene la palabra probability (probabilidad) en otros idiomas distintos del inglés.
[UNE-ISO 31000:2010]
3.18 proceso de gestión del riesgo: Aplicación sistemática de políticas, procedimientos y prácticas de gestión a las actividades de comunicación, consulta, establecimiento del contexto, e identificación, análisis, evaluación, tratamiento, seguimiento y revisión del riesgo (3.20). [UNE-ISO 31000:2010]
3.19 programa de gestión del riesgo: Conjunto de acciones que especifican la asignación de responsabilidades, recursos y plazos a aplicar para la gestión del riesgo (3.10). 3.20 riesgo: Efecto de la incertidumbre sobre la consecución de los objetivos. NOTA 1 Un efecto es una desviación, positiva y/o negativa, respecto a lo previsto. NOTA 2 Los objetivos pueden tener diferentes aspectos (tales como financieros, de salud y seguridad, o ambientales) y se pueden aplicar a diferentes niveles (tales como, nivel estratégico, nivel de un proyecto, de un producto, de un proceso o de una organización completa). NOTA 3 Con frecuencia, el riesgo se caracteriza por referencia a sucesos (3.22) potenciales y a sus consecuencias (3.3), o a una combinación de ambos. NOTA 4 Con frecuencia, el riesgo se expresa en térm inos de combinación de las consecuencias de un suceso (incluyendo los cambios en las circunstancias) y de su probabilidad (3.17). NOTA 5 La incertidumbre es el estado, incluso parcial, de deficiencia en la información relativa a la comprensión o al conocimiento de un suceso, de sus consecuencias o de su probabilidad.
[UNE-ISO 31000:2010]
- 10 AENOR autoriza el uso interno de este documento a DANIEL SILVA GARCIA
EA 0031:2013
3.21 riesgo residual: Riesgo (3.20) remanente después del tratamiento del riesgo (3.23). NOTA 1 El riesgo residual puede contener riesgos no identificados. NOTA 2 El riesgo residual también se puede conocer como "riesgo retenido".
[UNE-ISO 31000:2010]
3.22 suceso: Ocurrencia o cambio de un conjunto particular de circunstancias. NOTA 1 Un suceso puede ser único o repetirse, y se puede deber a varias causas. NOTA 2 Un suceso puede consistir en algo que no se llega a producir. NOTA 3 Algunas veces, un suceso se puede calificar como un "incidente" (3.13) o un "accidente". NOTA 4 Un suceso sin consecuencias (3.3) también se puede citar como "cuasi accidente" o "incidente" (3.13).
[UNE-ISO 31000:2010]
3.23 tratamiento del riesgo: Proceso destinado a modificar el riesgo (3.20). NOTA 1 El tratamiento del riesgo puede implicar: –
evitar el riesgo, decidiendo no iniciar o continuar con la actividad que motiva el riesgo;
–
aceptar o aumentar el riesgo con objeto de buscar una oportunidad;
–
eliminar la fuente de riesgo (3.9);
–
cambiar la probabilidad (3.17);
–
cambiar las consecuencias (3.3);
–
compartir el riesgo con otra u otras partes (incluyendo los contratos y la financiación del riesgo); y
–
mantener el riesgo en base a una decisión informada.
NOTA 2 Los tratamientos del riesgo que conducen a consecuencias negativas, en ocasiones se citan como "mitigación del riesgo", "eliminación del riesgo", "prevención del riesgo" y "reducción del riesgo". NOTA 3 El tratamiento del riesgo puede originar nuevos riesgos o modificar los riesgos existentes.
[UNE-ISO 31000:2010]
3.24 tolerancia al riesgo: Disponibilidad de una organización o de los grupos de interés (3.11) para soportar el riesgo (3.20) después del tratamiento del riesgo (3.23) con objeto de conseguir sus objetivos. [UNE-ISO 31000:2010]
4 SISTEMA DE GESTIÓN DEL RIESGO 4.1 Establecimiento del contexto La organización debe determinar los aspectos externos e internos que son pertinentes para su propósito y que afectan a su capacidad para lograr los resultados previstos del sistema de gestión del riesgo.
- 11 AENOR autoriza el uso interno de este documento a DANIEL SILVA GARCIA
EA 0031:2013
El contexto externo debe incluir, entre otros: el entorno legal, reglamentario, tecnológico, económico, social, político, financiero, competencia, ámbito nacional e internacional, establecimientos de las inmediaciones, medio ambiente y los grupos de interés externos. El contexto interno debe incluir, entre otros: el gobierno y la estructura de la organización, instalaciones, actividades, políticas, valores, objetivos y estrategias, recursos humanos y conocimientos, infraestructuras, zonas críticas, sistemas de información y los grupos de interés internos.
4.2 Necesidades y expectativas de los grupos de interés de la organización La organización debe identificar los grupos de interés afectados por su sistema de gestión del riesgo e identificar los requisitos para estos grupos de interés. Se debe asegurar que los intereses de los grupos de interés se comprenden y se tienen en consideración. Los principales grupos de interés afectados por el sistema de gestión de riesgo, según proceda, son: los propietarios, accionistas e inversores; los empleados; los clientes, usuarios y consumidores; los proveedores de producto y servicios; los aliados y colaboradores; las administraciones públicas; el medio ambiente y la comunidad y sociedad. La organización puede considerar el identificar otros grupos de interés que considere afectados por el sistema de gestión.
4.3 Determinación del alcance y los requisitos del sistema de gestión del riesgo La organización debe determinar los límites y aplicabilidad del sistema de gestión del riesgo para establecer su alcance. Cuando se determina este alcance, la organización debe tener en cuenta los aspectos externos e internos y los requisitos de los grupos de interés a los que se hace referencia en 4.2. El alcance debe contemplar, entre otra información, los centros de trabajo, unidades organizativas y localizaciones. Al definir el alcance del sistema de gestión del riesgo, la organización debe documentar y explicar aquellas exclusiones las cuales no deben afectar a la capacidad y responsabilidad de la organización para proporcionar el logro de sus objetivos, la continuidad de la organización y sus actividades, así como el cumplimiento con los requisitos legales, reglamentarios y de otro tipo. La organización debe establecer, documentar, implementar, revisar y mejorar continuamente el sistema de gestión del riesgo de manera eficaz de acuerdo con los requisitos de esta especificación, y determinar cómo va a dar cumplimiento a estos requisitos. Cuando una organización opte por contratar externamente cualquier actividad que afecte a la conformidad con estos requisitos, la organización debe mantener la responsabilidad y control de esas actividades. Se deben identificar dentro del sistema de gestión del riesgo los controles y responsabilidades necesarios en dichas actividades contratadas externamente. NOTA 1 Una actividad contratada externamente es una actividad que la organización necesita para su sistema de gestión del riesgo, y que la organización decide que sea desempeñada por una parte externa. NOTA 2 Asegurar el control de las actividades contratadas externamente no exime a la organización de la responsabilidad de cumplir con todos los requisitos establecidos, incluyendo los legales y los reglamentarios. NOTA 3 La Norma UNE-EN 31010:2011 proporciona directrices sobre las técnicas de identificación, análisis y evaluación del riesgo.
- 12 AENOR autoriza el uso interno de este documento a DANIEL SILVA GARCIA
EA 0031:2013
4.4 Requisitos de la documentación 4.4.1 Generalidades La documentación del sistema de gestión del riesgo debe incluir: a) un manual de gestión del riesgo; b) la política y los objetivos, metas y programas en materia de gestión del riesgo; c) los procedimientos y los registros requeridos por esta especificación; d) la documentación, incluyendo los registros, que la organización determine que son necesarios para asegurar la eficaz planificación, operación y control de sus actividades. NOTA Es importante que la documentación sea proporcional al nivel de complejidad y a los riesgos de la organización, y que se mantenga al mínimo requerido para alcanzar la eficacia y eficiencia.
4.4.2 Manual de Gestión del Riesgo La organización debe establecer, implementar y mantener un manual de gestión del riesgo que incluya: a) el alcance del sistema de gestión del riesgo; b) la descripción de los elementos principales del sistema de gestión del riesgo y su interacción, así como la referencia a los documentos relacionados; c) los tipos de riesgos principales y los criterios del riesgo y; d) los procedimientos establecidos para el sistema de gestión del riesgo o referencia a los mismos.
4.4.3 Control de los documentos Los documentos del sistema de gestión se deben controlar. Los registros son un tipo especial de documento y deben controlarse de acuerdo con los requisitos establecidos en el apartado 4.4.4. La organización debe establecer, implementar y mantener uno o varios procedimientos que definan los controles necesarios para: a) revisar y aprobar los documentos en cuanto a su adecuación antes de su emisión; b) revisar y actualizar los documentos cuando sea necesario, y aprobarlos nuevamente; c) asegurarse de que se identifican los cambios y el estado de revisión actual de los documentos; d) asegurarse de que las versiones pertinentes de los documentos aplicables están disponibles en los puntos de uso; e) asegurarse de que los documentos permanecen legibles, accesibles y fácilmente identificables; f) asegurarse de que se identifican los documentos de origen externo que la organización ha determinado como necesarios para el sistema de gestión del riesgo, así como que se controla su distribución y; g) prevenir el uso no intencionado de documentos obsoletos y aplicarles una identificación adecuada en el caso de que se mantengan por cualquier razón;
- 13 AENOR autoriza el uso interno de este documento a DANIEL SILVA GARCIA
EA 0031:2013
4.4.4 Control de los registros La organización debe establecer y mantener los registros que sean necesarios para evidenciar la conformidad con los requisitos de esta especificación así como la operación eficaz del sistema de gestión del riesgo de manera que se demuestren los resultados logrados. La organización debe establecer, implementar y mantener uno o varios procedimientos para definir los controles necesarios para la identificación, la trazabilidad, el almacenamiento, la protección, la recuperación, el tiempo de retención y la disposición de los registros. Los registros deben permanecer legibles, fácilmente identificables, trazables y recuperables. La documentación y registros en formato electrónico y digital deben ser a prueba de manipulaciones y con realización de copias de seguridad periódicas.
5 RESPONSABILIDAD POR LA DIRECCIÓN 5.1 Compromiso de la dirección La alta dirección debe proporcionar evidencia de su compromiso con el desarrollo, implementación y mantenimiento del sistema de gestión del riesgo, así como con la mejora continua de su eficacia: a) asegurando que se establezca y aprobando la política y los objetivos de gestión del riesgo, y que estos sean compatibles con la estrategia de la organización; b) asegurando la integración de los requisitos de gestión del riesgo en los procesos de negocio de la organización; c) asegurando que la gestión del riesgo tiene asignados los recursos necesarios; d) comunicando a la organización y sus grupos de interés los beneficios y la importancia de una gestión del riesgo eficaz y conforme con los requisitos de esta especificación; e) asegurando el cumplimiento legal y reglamentario; f) asignando la responsabilidad y la obligación de rendir cuentas a cada nivel de la organización; g) determinando la forma en que se tratan los intereses que puedan entrar en conflicto al gestionar los riesgos entre los distintos grupos de interés; h) llevando a cabo las revisiones por la dirección y promoviendo la mejora continua.
5.2 Política de gestión del riesgo La alta dirección debe establecer y aprobar la política de gestión del riesgo de la organización y asegurarse de que la misma: a) es adecuada al propósito de la organización, al alcance y a los tipos y niveles de los riesgos que la organización ha identificado; b) incluye un compromiso de respetar los principios generales de gestión del riesgo tal, y como se establecen en la Norma UNE-ISO 31000:2010; c) incluye un compromiso de cumplir con los requisitos legales, los establecidos en esta especificación y con otros requisitos que suscriba la organización en materia de riesgos; d) incluye un compromiso de mejorar continuamente la eficacia del sistema de gestión del riesgo; e) proporciona un marco de referencia para revisar los objetivos, metas y programas en materia de gestión del riesgo;
- 14 AENOR autoriza el uso interno de este documento a DANIEL SILVA GARCIA
EA 0031:2013
La política de gestión del riesgo debe: a) estar documentada, implementada, mantenida y revisada para su continua adecuación; b) ser comunicada y entendida dentro de la organización y; c) estar a disposición de los grupos de interés;
5.3 Planificación 5.3.1 Objetivos, metas y programas de gestión del riesgo La alta dirección debe asegurar que se establecen, documentan, implementan y mantienen objetivos, metas y programas de gestión del riesgo en los niveles y funciones pertinentes dentro de la organización. Los objetivos y metas deben: a) estar alineados y ser coherentes con la política de gestión del riesgo; b) considerar en su definición los riesgos significativos y los grupos de interés implicados en la organización, identificados como consecuencia de las actividades y decisiones de la organización; c) ser específicos, medibles, alcanzables, relevantes y determinados en el tiempo; d) comunicarse a las funciones pertinentes con el propósito de que éstas tomen conciencia de sus obligaciones individuales y; e) revisarse periódicamente para asegurarse de que siguen siendo relevantes y coherentes, para que en caso contrario, se modifiquen en consecuencia tanto los objetivos como las metas a conseguir. Al establecer y revisar sus objetivos, la organización debe considerar los contextos externo e interno en los que la organización opera y en los que pretende alcanzar sus objetivos. Entre otros parámetros se tienen que tener en cuenta: los requisitos legales y otros requisitos que la organización suscriba, así como los riesgos definidos como significativos. Además, debe tener en cuenta sus opciones tecnológicas, sus requisitos financieros, operacionales y comerciales, así como las opiniones de los grupos de interés. La organización debe establecer, documentar, implementar y mantener uno o varios programas para alcanzar sus objetivos y metas. Estos programas deben incluir: a) la asignación de responsabilidades y autoridad para lograr los objetivos en las funciones y niveles pertinentes de la organización; b) los medios y plazos para lograr los objetivos y; c) una revisión periódica y planificada para asegurarse de que siguen siendo relevantes y coherentes con los objetivos y las metas de la gestión del riesgo. Cuando sea necesario, los programas deben modificarse en consecuencia.
5.3.2 Planificación del sistema de gestión del riesgo La alta dirección debe asegurarse de que: a) la planificación del sistema de gestión del riesgo se realiza con el fin de cumplir los requisitos citados en el apartado 4.1, así como los objetivos, metas y programas de gestión del riesgo; b) los cambios en el sistema de gestión o en las actividades de la organización se gestionan manteniendo la integridad del sistema de gestión del riesgo;
- 15 AENOR autoriza el uso interno de este documento a DANIEL SILVA GARCIA
EA 0031:2013
c) el programa de gestión del riesgo abarca todo el alcance del sistema de gestión del riesgo de la organización y; d) el programa de gestión integra los diferentes planes de tratamiento de riesgos. NOTA El programa de gestión del riesgo se puede integrar en otros planes de la organización (por ejemplo, en el plan estratégico)
5.4 Responsabilidad y autoridad 5.4.1 Generalidades La alta dirección debe asegurarse de que están establecidas las funciones, responsabilidades y autoridad en la organización, así como la obligación de rendir cuentas para gestionar el riesgo a los diferentes niveles de la organización. Éstas deben documentarse y comunicarse dentro de la organización para facilitar una gestión eficaz de los riesgos. Entre otros, se deben identificar a los dueños del riesgo y a las personas que tienen obligación de rendir cuentas del desempeño, implementación y mantenimiento del sistema de gestión del riesgo a todos los niveles de la organización, así como asegurar que disponen de las competencias apropiadas para gestionar los riesgos.
5.4.2 Representante de la dirección La alta dirección debe designar un miembro de la dirección de la organización quien, independientemente de otras responsabilidades, debe tener responsabilidad y autoridad para: a) asegurarse que el sistema de gestión del riesgo se establece, implementa y mantiene de acuerdo con los requisitos de esta especificación; b) informar a la alta dirección sobre el desempeño del sistema de gestión del riesgo para su revisión, incluyendo las recomendaciones para la mejora y; c) asegurarse que se promueva la toma de conciencia de los requisitos en materia de gestión del riesgo. NOTA La responsabilidad del representante de la dirección puede incluir relaciones con grupos de interés externos sobre asuntos relacionados con el sistema de gestión del riesgo.
5.5 Comunicación e información La alta dirección de la organización se debe asegurar que se establecen mecanismos de comunicación e información apropiados, tanto interna como externamente, y que éstos se efectúan tomando en consideración la mejora del desempeño del sistema de gestión del riesgo.
5.5.1 Comunicación e información interna La alta dirección debe asegurarse que se establecen uno o varios procedimientos de comunicación e información interna con la finalidad de: a) asegurar un intercambio eficaz de información y una disponibilidad de información de la gestión del riesgo adecuada en los niveles y tiempos apropiados; b) establecer un sistema de notificación de sucesos, que incluya la descripción del evento, las circunstancias, una aproximación a su magnitud y trascendencia y la propuesta de medidas de mejora, con el fin de facilitar la identificación de riesgos; c) atender las consultas y otras peticiones de información en materia de gestión del riesgo;
- 16 AENOR autoriza el uso interno de este documento a DANIEL SILVA GARCIA
EA 0031:2013
d) fomentar la obligación de rendir cuentas y la propiedad del riesgo, así como la involucración en la identificación, evaluación y tratamiento de los riesgos; e) establecer informes internos adecuados sobre la gestión del riesgo, sus resultados y eficacia. Cuando corresponda, se deben incluir procesos de consolidación de información relativa al riesgo procedente de diferentes fuentes.
5.5.2 Comunicación e información externa. La alta dirección debe asegurarse que se establece un plan de comunicación e información externa con la finalidad de: a) conocer las necesidades y expectativas en materia de gestión del riesgo; b) generar confianza en la organización; c) fomentar una participación adecuada tanto en la investigación de sucesos, como en aquellos cambios que afecten al sistema de gestión del riesgo; d) establecer un sistema de reclamaciones, quejas y requerimientos de terceros; e) establecer una comunicación en caso de situaciones de emergencia, crisis o contingencias; f) establecer mecanismos de retroalimentación y consulta, garantizando el cumplimiento de los principios de la transparencia; g) establecer informes externos adecuados sobre requisitos legales, reglamentarios y de buen gobierno de la organización.
5.6 Revisión por la dirección La alta dirección debe revisar el sistema de gestión del riesgo de la organización, a intervalos planificados, para asegurarse de su conveniencia, adecuación y eficacia continua. La revisión debe incluir la evaluación de oportunidades de mejora y la necesidad de efectuar cambios en el sistema de gestión del riesgo, incluyendo la política de gestión del riesgo y los objetivos de gestión del riesgo. Se deben mantener registros de las revisiones por la dirección (véase 4.4.4).
5.6.1 Información de entrada a la revisión La información de entrada para la revisión por la dirección debe incluir: a) los resultados de auditorías internas y externas; b) información sobre sucesos e incidentes reales o potenciales que puedan afectar a la organización y a los grupos de interés; c) los resultados de las evaluaciones del cumplimiento de requisitos legales y reglamentarios y otros requisitos que la organización suscriba; d) las comunicaciones con los grupos de interés y retroalimentación, incluyendo sus quejas, reclamaciones y sugerencias; e) el desempeño del sistema de gestión del riesgo;
- 17 AENOR autoriza el uso interno de este documento a DANIEL SILVA GARCIA
EA 0031:2013
f) el grado de cumplimiento de los objetivos, metas y programas; g) el estado de las acciones preventivas y correctivas; h) el seguimiento de las acciones resultantes de revisiones previas realizadas por la dirección; i) los cambios que podrían afectar al sistema de gestión del riesgo; j) el informe sobre los riesgos de la organización y la verificación de que estos han sido identificados y evaluados eficazmente, así como que se han establecido los controles apropiados para su prevención y los resultados obtenidos y; k) los registros y análisis de los indicadores establecidos para la gestión del riesgo.
5.6.2 Resultados de la revisión Los resultados de la revisión por la dirección deben incluir todas las decisiones y acciones relacionadas con: a) posibles cambios en la política de gestión del riesgo, objetivos y metas de gestión del riesgo y otros elementos del sistema de gestión del riesgo, coherentes con el compromiso de mejora continua; b) la mejora en el desempeño de la organización en materia de gestión del riesgo de acuerdo con las expectativas y necesidades de los grupos de interés; c) la necesidad de los recursos y; d) otros elementos del sistema de gestión del riesgo. Los resultados relevantes de la revisión por la dirección deben estar disponibles para su comunicación y consulta (véase 5.5).
6 RECURSOS 6.1 Generalidades La alta dirección debe asegurarse de la disponibilidad de recursos esenciales para establecer, implementar, mantener y mejorar el sistema de gestión del riesgo.
6.2 Competencia, formación y toma de conciencia La organización debe asegurarse de que el personal, cuyas funciones y/o puestos de trabajo puedan influir en el sistema de gestión del riesgo sea competente, tomando como base la educación, formación, habilidades y experiencia apropiadas. La organización debe: a) determinar la competencia necesaria del personal que realiza trabajos que afectan al sistema de gestión del riesgo; b) identificar las necesidades de formación relacionadas y proporcionar formación u otras acciones para satisfacer estas necesidades de competencia; c) evaluar la eficacia de las acciones adoptadas; d) asegurar que el personal es consciente de la importancia de las actividades que desarrolla y de su contribución al logro de los objetivos en materia de gestión del riesgo y; e) mantener los registros apropiados sobre la educación, formación, habilidades y experiencia (véase 4.4.4).
- 18 AENOR autoriza el uso interno de este documento a DANIEL SILVA GARCIA
EA 0031:2013
6.3 Infraestructura La organización debe determinar, proporcionar y mantener la infraestructura necesaria para lograr la eficaz gestión del riesgo. La infraestructura incluye: a) edificios, espacio de trabajo y servicios asociados; b) equipo para los procesos (tanto hardware como software) y; c) servicios de apoyo (tales como transporte, comunicación o sistemas de información).
7 PROCESO DE GESTIÓN DEL RIESGO 7.1 Generalidades Para poder establecer un sistema de gestión del riesgo es necesario que la organización identifique un proceso de gestión de sus riesgos. Ese proceso debe cumplir con los requisitos establecidos en el presente capítulo. A la hora de establecer el proceso de gestión del riesgo se tiene que tener en cuenta el contexto externo e interno en los que la organización opera y en los que pretende alcanzar sus objetivos. La organización debe documentar esta información y mantenerla actualizada. NOTA La Norma UNE-EN 31010:2011 proporciona directrices sobre las técnicas de identificación, análisis y evaluación del riesgo.
7.2 Identificación del riesgo La organización debe establecer, implementar y mantener uno o varios procedimientos para la identificación continua del riesgo. Se deben tener en cuenta con carácter general: a) el análisis de sus operaciones, procesos y actividades (habituales o nuevas) y sus ubicaciones, en sus distintas áreas de negocio, así como de las empresas vinculadas y filiales, susceptibles de generar riesgos. b) el comportamiento y capacidades humanas, la organización del trabajo y otros factores humanos; c) la infraestructura, servicios de apoyo y equipamiento en la organización; d) la gestión de proveedores y la subcontratación de actividades; e) los cambios o propuestas de cambio en la organización, incluyendo aquellos temporales y el impacto que pueden generar en la organización y en sus grupos de interés; f) los requisitos legales, reglamentarios y otros suscritos por la organización relativos a la gestión del riesgo; g) el diseño de los procesos, de los productos y/o servicios y los procedimientos operativos y; h) el sistema de notificación de sucesos e incidentes.
- 19 AENOR autoriza el uso interno de este documento a DANIEL SILVA GARCIA
EA 0031:2013
Se debe realizar una identificación exhaustiva de los riesgos que incluya: a) aquellos sucesos que podrían crear, mejorar, prevenir, degradar, acelerar o retrasar el logro de los objetivos; b) fuentes de riesgo y factores generadores de riesgos, tanto si están o no bajo el control de la organización; c) áreas de impactos de los riesgos en las operaciones, procesos y actividades de la organización y; d) las causas y consecuencias potenciales de los riesgos, así como un examen de los efectos en cadena de consecuencias particulares, incluyendo los efectos en cascada o acumulativos, e identificando los escenarios y niveles de riesgo. NOTA 1 Es esencial realizar una identificación exhaustiva, puesto que el riesgo no identificado es un riesgo no evaluado posteriormente. NOTA 2 Todas las causas y consecuencias significativas (positivas o negativas) se deben tener en consideración.
La organización debe aplicar herramientas y técnicas de identificación del riesgo, alineadas con su alcance, sus objetivos y su naturaleza, y disponer de la información adecuada, actualizada y proveniente de fuentes fiables. NOTA 3 La información puede obtenerse a partir de datos históricos, observaciones, opiniones de expertos, retroalimentación de los grupos de interés, entre otros.
Los riesgos una vez identificados deben ser registrados y comunicados a la persona o personas adecuadas para decidir sobre su necesidad de tratamiento.
7.3 Evaluación del riesgo La organización debe establecer, implementar y mantener uno o varios procedimientos para la evaluación del riesgo, de manera que se comprenda la naturaleza y nivel del riesgo para priorizar los riesgos que deben tratarse y así facilitar la toma de decisiones en la organización.
7.3.1 Definición de los criterios de riesgo Como paso previo a llevar a cabo una evaluación del riesgo eficaz, se deben definir los criterios del riesgo. Entre otros factores, a la hora de definir los criterios de riesgo se deben considerar los siguientes: a) el contexto interno y externo en el que se encuentra la organización; b) los valores, la política, los objetivos y los recursos de la organización; c) los requisitos legales o reglamentarios, o de otros requisitos suscritos por la organización; d) la naturaleza, las causas y las consecuencias de los riesgos; e) la metodología para determinar el nivel de riesgo, definiendo la probabilidad de ocurrencia, las consecuencias positivas o negativas que pueden producir, y los límites en los que el riesgo comienza a ser aceptable; f) los escenarios de probabilidad y/o de las consecuencias; g) las opiniones, percepciones e inquietudes de los grupos de interés; h) la interdependencia de los diferentes tipos de riesgos y de sus fuentes y las posibles combinaciones de riesgos múltiples;
- 20 AENOR autoriza el uso interno de este documento a DANIEL SILVA GARCIA
EA 0031:2013
i) los controles existentes, así como su eficacia y su eficiencia; j) el nivel para el cual el riesgo cuyas consecuencias son negativas es aceptable o tolerable. NOTA Los criterios de gestión del riesgo deben ser documentados y comunicados a los grupos de interés relevantes para facilitar la comprensión y consistencia de su aplicación.
7.3.2 Análisis del riesgo El análisis de los riesgos implica la asignación de un nivel de riesgo para cada riesgo identificado. El nivel de riesgo está determinado por la combinación de la probabilidad de ocurrencia y las consecuencias, negativas o positivas, de cada riesgo, así como de otros atributos del riesgo. Dicho nivel está relacionado con el tipo de riesgo, la información disponible y el objetivo al que afecta su resultado. Debe existir una coherencia entre los riesgos analizados y los criterios del riesgo definidos. Se deben tener en cuenta los controles existentes sobre los riesgos identificados, su eficacia y la eficiencia de los mismos; así como la interrelación entre los diferentes tipos de riesgos y las fuentes de riesgo que las originan.
7.3.3 Evaluación del riesgo La evaluación del riesgo implica la comparación del nivel de riesgo encontrado con los criterios del riesgo establecidos previamente. Con ello, la organización debe tomar decisiones sobre la necesidad de tratamiento de un riesgo y la prioridad a la hora de realizar el tratamiento del riesgo. En la toma de decisiones se debe tener en cuenta la actitud ante el riesgo de la organización y sus grupos de interés, así como los requisitos legales, reglamentarios y de otro tipo.
7.4 Tratamiento del riesgo La organización debe establecer, implementar y mantener uno o varios procedimientos para la identificación, selección y la implementación de una o varias opciones de tratamiento del riesgo con el fin de modificar los riesgos que afectan al logro de los objetivos de la organización. Las opciones de tratamiento del riesgo se deben considerar en función de las necesidades y circunstancias particulares de la organización siguiendo la siguiente jerarquía: a) eliminar el riesgo, finalizando la actividad que lo provoca; b) aceptar o aumentar el riesgo a fin de obtener una oportunidad; c) eliminar la fuente del riesgo; d) modificar la probabilidad de ocurrencia; e) modificar las consecuencias que producen el riesgo; f) compartir el riesgo con otras partes y; g) mantener el riesgo en base a una decisión informada. La organización debe periódicamente realizar evaluaciones de tratamientos del riesgo, decidir si los niveles de riesgo residual son aceptables o tolerables; y si no lo son, generar un nuevo tratamiento y evaluar la eficacia de cada tratamiento.
- 21 AENOR autoriza el uso interno de este documento a DANIEL SILVA GARCIA
EA 0031:2013
La selección del tratamiento del riesgo más adecuado supone establecer un equilibrio entre los costes y el esfuerzo de implementación del tratamiento y las ventajas que éste le proporcione a la organización, teniendo siempre en cuenta los distintos requisitos suscritos por la organización y la participación de los grupos de interés para conocer sus necesidades y expectativas con respecto a los riesgos a tratar. Las opciones de tratamiento del riesgo seleccionadas se deben incluir en los programas de gestión del riesgo (véase 5.3.) y/o asignar un control del riesgo (véase 7.5) para asegurar la adecuación de su gestión. Además, la organización debe establecer planes específicos de tratamiento del riesgo que deben incluir, al menos: a) los motivos por los que se ha decidido implementar la opción de tratamiento seleccionada; b) el objetivo a conseguir con el plan de tratamiento del riesgo; c) los responsables de aprobar e implementar el plan de tratamiento del riesgo; d) la planificación de las acciones y actividades propuestas; e) los recursos necesarios; f) la comunicación de la información adecuada a los grupos de interés afectados y; g) los riesgos residuales derivados del tratamiento del riesgo. Los planes específicos de tratamiento del riesgo deben identificar con claridad el orden de prioridad en que se debe implementar los tratamientos de riesgo individuales. También deben someterse a seguimiento y revisión, integrándose dentro del sistema de gestión de la organización. El tratamiento del riesgo implica en algunas ocasiones la introducción de nuevos riesgos o riesgos secundarios, que deben integrarse dentro de los planes y/o controles junto al riesgo original, y realizar un adecuado seguimiento y revisión de los mismos.
7.5 Control del riesgo La organización debe identificar aquellas operaciones y actividades que están asociadas con los riesgos identificados de acuerdo con su política y objetivos de gestión del riesgo para los que es necesaria la implementación de controles para asegurar que la gestión del riesgo se efectúa bajo las condiciones adecuadas. Esto debe incluir la gestión de los cambios que se pueden producir dentro de la organización. NOTA La gestión de cambios puede incluir cambios en la estructura, personal, sistema de gestión, procesos, actividades, uso de materiales, etc. de la organización.
Para esas operaciones y actividades, la organización debe establecer, implementar y mantener: a) procedimientos documentados, para cubrir las situaciones en las que su ausencia podría llevar a desviaciones de su política y sus objetivos de la gestión del riesgo; b) criterios operativos estipulados en los procedimientos; c) controles operacionales cuando sea aplicable para la organización y sus actividades; d) controles relacionados con los bienes y servicios utilizados por la organización, y la comunicación de los procedimientos y requisitos aplicables por los grupos de interés y; e) controles relacionados con los grupos de interés de la organización.
- 22 AENOR autoriza el uso interno de este documento a DANIEL SILVA GARCIA
EA 0031:2013
7.6 Preparación y respuesta ante incidentes La organización debe establecer, implementar y mantener uno o varios procedimientos para identificar, incidentes reales o potenciales que puedan suponer un riesgo significativo para la organización y/o los grupos de interés y cómo responder ante ellos. La organización debe responder ante situaciones de emergencia y accidentes reales y prevenir o mitigar los riesgos asociados. La organización debe planificar su respuesta ante incidentes y tener en cuenta las necesidades de los grupos de interés pertinentes. La organización también debe realizar pruebas periódicas de tales procedimientos, cuando sea factible, implicando a los grupos de interés pertinentes según sea apropiado. La organización debe revisar periódicamente, y modificar cuando sea necesario sus procedimientos de preparación y respuesta ante incidentes, en particular después de las pruebas periódicas y después de que ocurran sucesos, incidentes y/o accidentes o situaciones de emergencia (véase 8.4). NOTA 1 La comunicación en caso de crisis, contingencias o emergencias debe realizarse de manera eficaz con los grupos de interés involucrados. NOTA 2 La Norma ISO 22320 sobre gestión de emergencias establece los requisitos mínimos sobre la respuesta ante incidentes.
7.7 Recuperación ante una interrupción de la actividad de la organización La organización debe establecer uno o varios procedimientos que permitan asegurar la continuidad de las actividades de la organización ante sucesos que puedan suponer una interrupción de las mismas. Se debe tener en cuenta en especial aquellas actividades que dan soporte a los productos y/o servicios de la organización. Estos procedimientos deben garantizar la capacidad de recuperación de la organización a unas condiciones mínimas establecidas para continuar su actividad de la manera más eficaz. Los procedimientos de recuperación de la actividad ante una interrupción de la misma deben determinar: a) las condiciones mínimas necesarias para la continuidad de las actividades de la organización; b) los plazos en los que la actividad debe ser recuperada a las condiciones establecidas tras una interrupción; c) los pasos y acciones a seguir una vez se produzca la interrupción, d) los protocolos de comunicación internos y externos apropiados; e) las personas responsables de gestionar la recuperación de dichas actividades y; f) los recursos necesarios para hacer frente a la recuperación de la actividad. La organización debe revisar periódicamente, y modificar cuando sea necesario, los procedimientos de recuperación de la actividad ante una interrupción de la actividad de la organización, teniendo en cuenta las necesidades de los grupos de interés pertinentes según sea apropiado. NOTA La Norma ISO 22301 establece los requisitos mínimos sobre un sistema de gestión de la continuidad del negocio de una organización.
- 23 AENOR autoriza el uso interno de este documento a DANIEL SILVA GARCIA
EA 0031:2013
8 MEDICIÓN, ANÁLISIS Y MEJORA 8.1 Generalidades La organización debe establecer, implementar y mantener procedimientos para el seguimiento, la medición, el análisis y la mejora del desempeño del sistema de gestión del riesgo.
8.2 Seguimiento y medición de las actividades de gestión del riesgo La organización debe establecer, implementar y mantener uno o varios procedimientos para hacer el seguimiento y medir de forma regular el desempeño de la gestión del riesgo. Los procedimientos deben incluir: a) las medidas del desempeño (indicadores) que hacen un seguimiento de la conformidad con los programas, controles y criterios operacionales de la gestión del riesgo; así como las medidas cualitativas y cuantitativas apropiadas a las necesidades de la organización; b) el seguimiento del grado de cumplimiento de los objetivos de gestión del riesgo y el grado de progreso del plan de gestión del riesgo de la organización; c) el seguimiento de la eficacia de los controles establecidos; d) el registro de resultados del seguimiento y medición, para facilitar el posterior análisis de las acciones correctivas y las acciones preventivas; e) analizar los sucesos, incidentes, accidentes, cambios, tendencias, éxitos, errores y fallos que se han producido para sacar conclusiones de ello; f) detectar los cambios que se puedan producir en el contexto de la organización y que pueden dar lugar a cambios en los criterios del riesgo definidos, así como cambios en el propio riesgo en sí, teniendo en cuenta la revisión de los tratamientos del riesgo implantados y las prioridades establecidas e; g) identificar nuevos riesgos emergentes. Con la implantación progresiva de los programas de tratamiento del riesgo, se proporciona una medida del funcionamiento del sistema de gestión del riesgo. Los resultados se pueden incorporar en el sistema de gestión global de la organización, en su medición y en las actividades que se realicen. Las responsabilidades del seguimiento y de la medición deben estar claramente definidas.
8.3 Análisis de datos La organización debe determinar, recopilar y analizar los datos apropiados para demostrar la idoneidad y la eficacia del sistema de gestión del riesgo, y para evaluar dónde puede realizarse la mejora continua de la eficacia del sistema de gestión del riesgo. Esto debe incluir datos generados del seguimiento y medición de las actividades de gestión del riesgo y de cualesquiera otras fuentes pertinentes.
8.4 Investigación de sucesos e incidentes, no conformidad, acción correctiva y acción preventiva 8.4.1 Investigación de sucesos e incidentes La organización debe establecer, implementar y mantener uno o varios procedimientos para registrar, investigar y analizar los sucesos e incidentes para: a) determinar las deficiencias del sistema de gestión del riesgo y otros factores que podrían causar o contribuir a la aparición de incidentes o cuasi-accidentes; b) mejorar la apreciación del riesgo sobre la evaluación;
- 24 AENOR autoriza el uso interno de este documento a DANIEL SILVA GARCIA
EA 0031:2013
c) identificar la necesidad de una acción correctiva; d) identificar oportunidades para una acción preventiva; e) identificar oportunidades para la mejora continua y; f) comunicar los resultados de tales investigaciones mediante el sistema de notificación de sucesos. Las investigaciones se deben llevar a cabo en el momento oportuno. Cualquier necesidad identificada de acciones correctivas o de oportunidades para una acción preventiva debe tratarse de acuerdo con las partes pertinentes del apartado 8.4.2. Se deben documentar y mantener los resultados de las investigaciones de los sucesos, incidentes y/o accidentes.
8.4.2 No conformidad, acción correctiva y acción preventiva La organización debe establecer, implementar y mantener uno o varios procedimientos para tratar las no conformidades reales y potenciales, y adoptar las acciones correctivas y las acciones preventivas. Los procedimientos deben definir requisitos para: a) la identificación y corrección de no conformidades; b) la investigación de las no conformidades, determinando sus causas y tomando las acciones correctivas con el fin de prevenir que vuelvan a ocurrir; c) la evaluación de la necesidad de acciones para prevenir las no conformidades y la adopción de acciones apropiadas definidas para prevenir su ocurrencia; d) el registro de los resultados de las acciones preventivas y acciones correctivas adoptadas (véase 4.4.4) y; e) la revisión de la eficacia de las acciones preventivas y acciones correctivas adoptadas. Las acciones tomadas deben ser apropiadas teniendo en cuenta los efectos de las no conformidades encontradas o los efectos de los problemas potenciales. La organización debe asegurarse de que cualquier cambio necesario que surja de una acción correctiva o de una acción preventiva se incorpora a la documentación del sistema de gestión del riesgo.
8.5 Auditoría interna La organización debe llevar a cabo auditorías internas a intervalos planificados para determinar si el sistema de gestión del riesgo: a) es conforme con los requisitos planificados para la gestión del riesgo, con los requisitos de este documento y con los requisitos del sistema de gestión del riesgo establecidos por la organización y; b) se ha implementado y se mantiene de manera eficaz. Se debe planificar un programa de auditorías internas tomando en consideración el estado y la importancia de los requisitos en materia de gestión del riesgo, las áreas a auditar, así como los resultados de auditorías previas. Se deben definir los criterios de auditoría, el alcance de la misma, su frecuencia y la metodología. La selección de los auditores y la realización de las auditorías deben asegurar la objetividad e imparcialidad del proceso de auditoría. Los auditores no deben auditar su propio trabajo.
- 25 AENOR autoriza el uso interno de este documento a DANIEL SILVA GARCIA
EA 0031:2013
Se deben establecer, implementar y mantener uno o varios procedimientos para definir las responsabilidades y los requisitos para planificar y realizar las auditorías, establecer los registros e informar de los resultados. Deben mantenerse registros de las auditorías y de sus resultados (véase 4.4.4). La dirección responsable del área que esté siendo auditada debe asegurarse de que se realizan las correcciones y se toman las acciones correctivas necesarias sin demoras injustificadas para eliminar las no conformidades detectadas y sus causas. Las actividades de seguimiento deben incluir la verificación de las acciones tomadas y el informe de los resultados de la verificación.
8.6 Mejora continua La organización debe mejorar continuamente la eficacia del sistema de gestión del riesgo mediante el uso de la política de gestión del riesgo, los objetivos, los resultados de las auditorías, el análisis de datos, las acciones correctivas y preventivas y la revisión por la dirección.
9 BIBLIOGRAFÍA Los documentos que se citan a continuación pueden servir de ayuda para la implantación de los diferentes elementos del sistema de gestión del riesgo: Gestión del Riesgo UNE-EN 31010:2011 Gestión del riesgo. Técnicas de apreciación del riesgo. UNE-ISO GUÍA 73:2010 IN Gestión del riesgo. Vocabulario. Seguridad de los ciudadanos ISO 22301:2012 Protección y seguridad de los ciudadanos. Sistema de Gestión de la Continuidad del Negocio (SGCN). Especificaciones.
ISO 22313:2012 Protección y seguridad de los ciudadanos. Sistema de Gestión de la Continuidad del Negocio (SGCN). Directrices.
ISO 22320:2011 Protección y seguridad de los ciudadanos. Gestión de las emergencias. Requisitos para la respuesta ante incidentes.
ISO/PAS 22399:2007 Protección y seguridad de los ciudadanos. Guía para la preparación ante incidentes y la gestión de la continuidad operacional.
Gestión de la prevención de riesgos laborales OHSAS 18001:2007 Sistemas de gestión de la seguridad y salud en el trabajo. Requisitos. OHSAS 18002:2008 Sistemas de gestión de la seguridad y salud en el trabajo. Directrices para la implementación de OHSAS 18001:2007.
Responsabilidad social IQNet SR 10 Sistemas de gestión de la responsabilidad social. Requisitos. UNE-ISO 26000:2012 Guía de responsabilidad social.
- 26 AENOR autoriza el uso interno de este documento a DANIEL SILVA GARCIA
EA 0031:2013
Gestión de la Calidad UNE-EN ISO 9001:2008 Sistemas de gestión de la calidad. Requisitos. UNE-EN ISO 9001:2008/AC:2009 Sistemas de gestión de la calidad. Requisitos. UNE-EN ISO 9004:2009 Gestión para el éxito sostenido de una organización. Enfoque de gestión de la calidad.
Gestión ambiental UNE 150008:2008 Análisis y evaluación del riesgo ambiental. UNE-EN ISO 14001:2004 Sistemas de gestión ambiental. Requisitos con orientación para su uso. UNE-EN ISO 14001:2004/AC:2009 Sistemas de gestión ambiental. Requisitos con orientación para su uso. UNE-EN ISO 14004:2010 Sistemas de gestión ambiental. Directrices generales sobre principios, sistemas y técnicas de apoyo.
Gestión de la Seguridad de la Información UNE 71504:2008 Metodología de análisis y gestión de riesgos para los sistemas de información. UNE-ISO/IEC 27000:2012 Tecnologías de la información. Técnicas de seguridad. Sistemas de Gestión de la Seguridad de la Información (SGSI). Visión de conjunto y vocabulario.
UNE-ISO/IEC 27001:2007 Tecnología de la información. Técnicas de seguridad. Sistemas de Gestión de la Seguridad de la Información (SGSI). Requisitos.
UNE-ISO/IEC 27001:2007/1M:2009 Tecnología de la información. Técnicas de seguridad. Sistemas de Gestión de la Seguridad de la Información (SGSI). Requisitos.
ISO/IEC 27005:2011 Information technology. Security techniques. Information security risk management. Normas sectoriales UNE 179003:2013 Servicios sanitarios. Gestión de riesgos para la seguridad del paciente. UNE-EN 15975-1:2011 Seguridad en el suministro de agua potable. Directrices para la gestión del riesgo y las crisis. Parte 1: Gestión de las crisis.
UNE-EN ISO 14971:2012 Productos sanitarios. Aplicación de la gestión de riesgos a los productos sanitarios.
UNE-EN ISO 22000:2005 Sistemas de gestión de la inocuidad de los alimentos. Requisitos para cualquier organización en la cadena alimentaria.
UNE-ISO 28000:2008 Especificación para los sistemas de gestión de la seguridad para la cadena de suministro.
EN ISO 17666:2003 Sistemas espaciales. Gestión de riesgos .
- 27 AENOR autoriza el uso interno de este documento a DANIEL SILVA GARCIA
EA 0031:2013
ANEXO A (Informativo) CORRESPONDENCIA ENTRE EL SISTEMA DE GESTIÓN DEL RIESGO Y LA NORMA UNE-ISO 31000:2010
Sistema de Gestión del Riesgo INTRODUCCIÓN Generalidades Principios generales en la gestión del riesgo OBJETO Y CAMPO DE APLICACIÓN NORMAS PARA CONSULTA TÉRMINOS Y DEFINICIONES SISTEMA DE GESTIÓN DEL RIESGO (título solamente)
0 0.1 0.2 1 2 3 4
Establecimiento del contexto
4.1
UNE-ISO 31000:2010 INTRODUCCIÓN 3 1
PRINCIPIOS OBJETO Y CAMPO DE APLICACIÓN
2 4.3 4.4
TÉRMINOS Y DEFINICIONES Diseño del marco de trabajo Implementación del marco de trabajo de la gestión del riesgo Generalidades Comprensión de la organización y de su contexto Integración en los procesos de la organización
4.1 4.3.1 4.3.4
Necesidades y expectativas de los grupos de interés Determinación del alcance y los requisitos del sistema de gestión del riesgo
4.2 4.3
4.1
Generalidades
Requisitos de la documentación
4.4
5.7
Registro del proceso de gestión del riesgo
Generalidades Manual de Gestión del Riesgo Control de documentos Control de registros RESPONSABILIDAD POR LA DIRECCIÓN Compromiso de la dirección Política de gestión del riesgo
4.4.1 4.4.2 4.4.3 4.4.4 5 5.1 5.2
4.2 4.3.2
Planificación (título solamente)
5.3
4.4
Mandato y compromiso Establecimiento de la política de gestión del riesgo Implementación del marco de trabajo de la gestión del riesgo
Objetivos, metas y programas de gestión del riesgo
5.3.1
Planificación del sistema de gestión del riesgo Responsabilidad y autoridad Generalidades Representante de la dirección
5.3.2 5.4 5.4.1 5.4.2
4.3.3
Obligación de rendir cuentas
- 28 AENOR autoriza el uso interno de este documento a DANIEL SILVA GARCIA
EA 0031:2013
Sistema de Gestión del Riesgo Comunicación e información
5.5
5.2 4.2
UNE-ISO 31000:2010 Establecimiento de los mecanismos internos de comunicación y consulta Establecimiento de los mecanismos externos de comunicación y consulta Comunicación y consulta Mandato y compromiso
4.3.5
Recursos
Apreciación del riesgo (título solamente) Generalidades Identificación del riesgo Establecimiento del contexto Definición de los criterios del riesgo Análisis del riesgo Evaluación del riesgo Tratamiento del riesgo
4.3.6 4.3.7
Revisión del sistema por la dirección Información de entrada a la revisión Resultados de la revisión GESTIÓN DE LOS RECURSOS
5.6 5.6.1 5.6.2 6
Generalidades Competencia, formación y toma de conciencia Infraestructura
6.1 6.2 6.3
PROCESOS DE GESTIÓN DEL RIESGO
7
5.4
Generalidades Identificación del riesgo Evaluación del riesgo
7.1 7.2 7.3
Tratamiento del riesgo Control del riesgo Preparación y respuesta ante incidentes Recuperación ante una interrupción de la actividad de la organización MEDICIÓN, ANÁLISIS Y MEJORA Generalidades Seguimiento y medición de las actividades de gestión del riesgo
7.4 7.5 7.6 7.7
5.4.1 5.4.2 5.3 5.3.5 5.4.3 5.4.4 5.5
Análisis de datos Investigación de sucesos e incidentes, no conformidad, acción correctiva y acción preventiva Auditoría interna Mejora continua
8 8.1 8.2
4.5 5.6
Seguimiento y revisión del marco de trabajo Seguimiento y revisión
4.6
Mejora continua del marco de trabajo
8.3 8.4
8.5 8.6
- 29 AENOR autoriza el uso interno de este documento a DANIEL SILVA GARCIA