Docsity
Docsity

Prepara tus exámenes
Prepara tus exámenes

Prepara tus exámenes y mejora tus resultados gracias a la gran cantidad de recursos disponibles en Docsity


Consigue puntos base para descargar
Consigue puntos base para descargar

Gana puntos ayudando a otros estudiantes o consíguelos activando un Plan Premium


Orientación Universidad
Orientación Universidad


DOCUMENTO AUDITORIA ISO 31001, Apuntes de Sistemas Operativos

DOCUMENTO AUDITORIA NORMA ISO 31001

Tipo: Apuntes

2020/2021

Subido el 08/07/2021

carmen-cecilia
carmen-cecilia 🇨🇴

4.5

(11)

4 documentos

1 / 30

Toggle sidebar

Esta página no es visible en la vista previa

¡No te pierdas las partes importantes!

bg1
NORMA TÉCNICA NTC-ISO
COLOMBIANA 31000
2018-07-18
GESTIÓN DEL RIESGO. DIRECTRICES
E: RISK MANAGEMENT. GUIDELINES
CORRESPONDENCIA: esta norma es una adopción idéntica (IDT) respecto
a su documento de referencia ISO 31000:2018 (traducción oficial).
DESCRIPTORES: riesgo; gestión; gestión de riesgo.
I.C.S.: 97.200.50
Editada por el Instituto Colombiano de Normas Técnicas y Certificación (ICONTEC)
Apartado 14237 Bogotá, D.C. - Tel. (571) 6078888 - Fax (571) 2221435
Prohibida su reproducción Primera actualización
Editada 2018-07-25
pf3
pf4
pf5
pf8
pf9
pfa
pfd
pfe
pff
pf12
pf13
pf14
pf15
pf16
pf17
pf18
pf19
pf1a
pf1b
pf1c
pf1d
pf1e

Vista previa parcial del texto

¡Descarga DOCUMENTO AUDITORIA ISO 31001 y más Apuntes en PDF de Sistemas Operativos solo en Docsity!

NORMA TÉCNICA NTC-ISO

COLOMBIANA 31000

GESTIÓN DEL RIESGO. DIRECTRICES

E: RISK MANAGEMENT. GUIDELINES

CORRESPONDENCIA: esta norma es una adopción idéntica (IDT) respecto a su documento de referencia ISO 31000:2018 (traducción oficial).

DESCRIPTORES: riesgo; gestión; gestión de riesgo.

I.C.S.: 97.200.

Editada por el Instituto Colombiano de Normas Técnicas y Certificación (ICONTEC) Apartado 14237 Bogotá, D.C. - Tel. (571) 6078888 - Fax (571) 2221435

Prohibida su reproducción Primera actualización Editada 2018-07-

PRÓLOGO

El Instituto Colombiano de Normas Técnicas y Certificación, ICONTEC , es el organismo nacional de normalización, según el Decreto 1595 de 2015.

ICONTEC es una entidad de carácter privado, sin ánimo de lucro, cuya Misión es fundamental para brindar soporte y desarrollo al productor y protección al consumidor. Colabora con el sector gubernamental y apoya al sector privado del país, para lograr ventajas competitivas en los mercados interno y externo.

La representación de todos los sectores involucrados en el proceso de Normalización Técnica está garantizada por los Comités Técnicos y el período de Consulta Pública, este último caracterizado por la participación del público en general.

La norma NTC-ISO 31000 (Primera actualización) fue ratificada por el Consejo Directivo de 2018-07-18.

Esta norma está sujeta a ser actualizada permanentemente con el objeto de que responda en todo momento a las necesidades y exigencias actuales.

A continuación, se relacionan las empresas que colaboraron en el estudio de esta norma a través de su participación en el Comité Técnico 32 Gestión del Riesgo.

AERONÁUTICA CIVIL AON ASORIESGO CALIBRATION SERVICE LTDA. CHUBB DE COLOMBIA ÉTICA Y TECNOLOGÍA SAS FTC ENERGY GROUP FUNDACIÓN CARDIO INFANTIL GAMA CONSULTING SAS GESTAR INNOVACIÓN ITAU CORREDORES DE SEGUROS MARCONSULT

OSSA Y ASOCIADOS S.A. VIAJES Y

TURISMO GRUPO NOBEL

QUALITY COLOMBIA

RELIABLE CONTROL SAS

RESTREPO ORAMAS SAS

RIVERA & CRISTANCHO CONSULTORES

SAS

SEGUROS DEL ESTADO

SEICO LTDA.

SERVIENTREGA

SES COLOMBIA SAS

Además de las anteriores, en Consulta Pública el Proyecto se puso a consideración de las siguientes empresas:

2CDESIGN SAS ACERÍAS DE COLOMBIA ACESCO SAS ACERÍAS PAZ DEL RÍO S.A. ALIMENTOS LACALI S.A. AMERICANA DE CURTIDOS LTDA. Y CÍA. S.C.A ASCAL LTDA. ASECAL SAS BP SERVICES SAS

BUITRAGO & ASOCIADOS ABOGADOS

ASESORES SAS

BUSINESS & ADVISE SAS

C.I. ENERGÍA SOLAR S.A.

CERTICÁMARA S.A.

CHAHIN VARGAS & ASOCIADOS SAS

CODENSA S.A. ESP

COMUNIDAD LATINOAMERICANA DE

CONSULTORES Y ASESORES EN

PRÓLOGO

ISO (Organización Internacional de Normalización) es una federación mundial de organismos nacionales de normalización (organismos miembros de ISO). El trabajo de preparación de las Normas Internacionales normalmente se realiza a través de los comités técnicos de ISO. Cada organismo miembro interesado en una materia para la cual se haya establecido un comité técnico tiene el derecho de estar representado en dicho comité. Las organizaciones internacionales, públicas y privadas, en coordinación con ISO, también participan en el trabajo. ISO colabora estrechamente con la Comisión Electrotécnica Internacional (IEC) en todas las materias de normalización electrotécnica.

En la Parte 1 de las Directivas ISO/IEC se describen los procedimientos utilizados para desarrollar este documento y para su mantenimiento posterior. En particular debería tomarse nota de los diferentes criterios de aprobación necesarios para los distintos tipos de documentos ISO. Este documento se redactó de acuerdo a las reglas editoriales de la Parte 2 de las Directivas ISO/IEC. www.iso.org/directives.

Se llama la atención sobre la posibilidad de que algunos de los elementos de este documento puedan estar sujetos a derechos de patente. ISO no asume la responsabilidad por la identificación de cualquiera o todos los derechos de patente. Los detalles sobre cualquier derecho de patente identificado durante el desarrollo de este documento se indican en la introducción y/o en la lista ISO de declaraciones de patente recibidas. www.iso.org/patents.

Cualquier nombre comercial utilizado en este documento es información que se proporciona para comodidad del usuario y no constituye una recomendación.

Para obtener una explicación sobre el significado de los términos específicos de ISO y expresiones relacionadas con la evaluación de la conformidad, así como información de la adhesión de ISO a los principios de la Organización Mundial del Comercio (OMC) respecto a los Obstáculos Técnicos al Comercio (OTC), véase la siguiente dirección: www.iso.org/iso/foreword.html.

El comité responsable de este documento es el ISO/TC 262, Gestión del riesgo.

Esta segunda edición anula y sustituye a la primera edición (ISO 31000:2009 1 ) que ha sido revisada técnicamente.

Los principales cambios en comparación con la edición anterior son los siguientes:

  • se revisan los principios de la gestión del riesgo, que son los criterios clave para su éxito;
  • se destaca el liderazgo de la alta dirección y la integración de la gestión del riesgo, comenzando con la gobernanza de la organización;

(^1) La edición nacional se refiere a la NTC ISO 31000:2011.

  • se pone mayor énfasis en la naturaleza iterativa de la gestión del riesgo, señalando que las nuevas experiencias, el conocimiento y el análisis pueden llevar a una revisión de los elementos del proceso, las acciones y los controles en cada etapa del proceso;
  • se simplifica el contenido con un mayor enfoque en mantener un modelo de sistemas abiertos para adaptarse a múltiples necesidades y contextos.

CONTENIDO

Página

    1. OBJETO Y CAMPO DE APLICACIÓN ........................................................................ INTRODUCCIÓN .......................................................................................................................i
    1. REFERENCIAS NORMATIVAS ...................................................................................
    1. TÉRMINOS Y DEFINICIONES .....................................................................................
    1. PRINCIPIOS .................................................................................................................
    1. MARCO DE REFERENCIA ..........................................................................................
  • 5.1 GENERALIDADES .......................................................................................................
  • 5.2 LIDERAZGO Y COMPROMISO ...................................................................................
  • 5.3 INTEGRACIÓN .............................................................................................................
  • 5.4 DISEÑO ........................................................................................................................
  • 5.5 IMPLEMENTACIÓN .....................................................................................................
  • 5.6 VALORACIÓN ..............................................................................................................
  • 5.7 MEJORA .......................................................................................................................
    1. PROCESO ..................................................................................................................
  • 6.1 GENERALIDADES .....................................................................................................
  • 6.2 COMUNICACIÓN Y CONSULTA ...............................................................................
  • 6.3 ALCANCE, CONTEXTO Y CRITERIOS .....................................................................
  • 6.4 EVALUACIÓN DEL RIESGO .....................................................................................

Página

6.5 TRATAMIENTO DEL RIESGO ...................................................................................

6.6 SEGUIMIENTO Y REVISIÓN .....................................................................................

6.7 REGISTRO E INFORME ............................................................................................

BIBLIOGRAFÍA ......................................................................................................................

DOCUMENTO DE REFERENCIA ..........................................................................................

ANEXO A (Informativo) RESUMEN DE CAMBIOS ......................................................................................................

FIGURAS

Figura 1. Principios, marco de referencia y proceso ..........................................................ii

Figura 2. Principios ................................................................................................................

Figura 3. Marco de referencia ................................................................................................

Figura 4. Proceso..................................................................................................................

ii

Figura 1. Principios, marco de referencia y proceso

1 de 20

GESTIÓN DEL RIESGO.

DIRECTRICES

1. OBJETO Y CAMPO DE APLICACIÓN

Este documento proporciona directrices para gestionar el riesgo al que se enfrentan las organizaciones. La aplicación de estas directrices puede adaptarse a cualquier organización y a su contexto.

Este documento proporciona un enfoque común para gestionar cualquier tipo de riesgo y no es específico de una industria o un sector.

Este documento puede utilizarse a lo largo de la vida de la organización y puede aplicarse a cualquier actividad, incluyendo la toma de decisiones a todos los niveles.

2. REFERENCIAS NORMATIVAS

El presente documento no contiene referencias normativas.

3. TÉRMINOS Y DEFINICIONES

Para los fines de este documento, se aplican los términos y definiciones siguientes.

ISO e IEC mantienen bases de datos terminológicas para su utilización en normalización en las siguientes direcciones:

  • Plataforma de búsqueda en línea de ISO: disponible en http://www.iso.org/obp
  • Electropedia de IEC: disponible en http://www.electropedia.org

3.1 riesgo. Efecto de la incertidumbre sobre los objetivos

NOTA 1 a la entrada: Un efecto es una desviación respecto a lo previsto. Puede ser positivo, negativo o ambos, y puede abordar, crear o resultar en oportunidades y amenazas.

NOTA 2 a la entrada: Los objetivos pueden tener diferentes aspectos y categorías, y se pueden aplicar a diferentes niveles.

NOTA 3 a la entrada: Con frecuencia, el riesgo se expresa en términos de fuentes de riesgo (3.4), eventos (3.5) potenciales, sus consecuencias (3.6) y sus probabilidades (3.7).

Los principios descritos en la Figura 2 proporcionan orientación sobre las características de una gestión del riesgo eficaz y eficiente, comunicando su valor y explicando su intención y propósito. Los principios son el fundamento de la gestión del riesgo y se deberían considerar cuando se establece el marco de referencia y los procesos de la gestión del riesgo de la organización. Estos principios deberían habilitar a la organización para gestionar los efectos de la incertidumbre sobre sus objetivos.

Figura 2. Principios

La gestión del riesgo eficaz requiere los elementos de la Figura 2 y puede explicarse como sigue:

a) Integrada

La gestión del riesgo es parte integral de todas las actividades de la organización.

b) Estructurada y exhaustiva

Un enfoque estructurado y exhaustivo hacia la gestión del riesgo contribuye a resultados coherentes y comparables.

c) Adaptada

El marco de referencia y el proceso de la gestión del riesgo se adaptan y son proporcionales a los contextos externo e interno de la organización relacionados con sus objetivos.

d) Inclusiva

La participación apropiada y oportuna de las partes interesadas permite que se consideren su conocimiento, puntos de vista y percepciones. Esto resulta en una mayor toma de conciencia y una gestión del riesgo informada.

e) Dinámica

Los riesgos pueden aparecer, cambiar o desaparecer con los cambios de los contextos externo e interno de la organización. La gestión del riesgo anticipa, detecta, reconoce y responde a esos cambios y eventos de una manera apropiada y oportuna.

f) Mejor información disponible

Las entradas a la gestión del riesgo se basan en información histórica y actualizada, así como en expectativas futuras. La gestión del riesgo tiene en cuenta explícitamente cualquier limitación e incertidumbre asociada con tal información y expectativas. La información debería ser oportuna, clara y disponible para las partes interesadas pertinentes.

g) Factores humanos y culturales

El comportamiento humano y la cultura influyen considerablemente en todos los aspectos de la gestión del riesgo en todos los niveles y etapas.

h) Mejora continua

La gestión del riesgo mejora continuamente mediante aprendizaje y experiencia.

5. MARCO DE REFERENCIA

5.1 GENERALIDADES

El propósito del marco de referencia de la gestión del riesgo es asistir a la organización en integrar la gestión del riesgo en todas sus actividades y funciones significativas. La eficacia de la gestión del riesgo dependerá de su integración en la gobernanza de la organización, incluyendo la toma de decisiones. Esto requiere el apoyo de las partes interesadas, particularmente de la alta dirección.

El desarrollo del marco de referencia implica integrar, diseñar, implementar, valorar y mejorar la gestión del riesgo a lo largo de toda la organización. La Figura 3 ilustra los componentes del marco de referencia.

  • comunicar el valor de la gestión del riesgo a la organización y sus partes interesadas;
  • promover el seguimiento sistemático de los riesgos;
  • asegurarse de que el marco de referencia de la gestión del riesgo permanezca apropiado al contexto de la organización.

La alta dirección rinde cuentas por gestionar el riesgo mientras que los órganos de supervisión rinden cuentas por la supervisión de la gestión del riesgo. Frecuentemente se espera o se requiere que los órganos de supervisión:

  • se aseguren de que los riesgos se consideran apropiadamente cuando se establezcan los objetivos de la organización;
  • comprendan los riesgos a los que hace frente la organización en la búsqueda de sus objetivos;
  • se aseguren de que los sistemas para gestionar estos riesgos se implementen y operen eficazmente;
  • se aseguren de que estos riesgos sean apropiados en el contexto de los objetivos de la organización;
  • se aseguren de que la información sobre estos riesgos y su gestión se comunique de la manera apropiada.

5.3 INTEGRACIÓN

La integración de la gestión del riesgo depende de la comprensión de las estructuras y el contexto de la organización. Las estructuras difieren dependiendo del propósito, las metas y la complejidad de la organización. El riesgo se gestiona en cada parte de la estructura de la organización. Todos los miembros de una organización tienen la responsabilidad de gestionar el riesgo.

La gobernanza guía el curso de la organización, sus relaciones externas e internas y las reglas, los procesos y las prácticas necesarios para alcanzar su propósito. Las estructuras de gestión convierten la orientación de la gobernanza en la estrategia y los objetivos asociados requeridos para lograr los niveles deseados de desempeño sostenible y de viabilidad en el largo plazo. La determinación de los roles para la rendición de cuentas y la supervisión de la gestión del riesgo dentro de la organización son partes integrales de la gobernanza de la organización.

La integración de la gestión del riesgo en la organización es un proceso dinámico e iterativo, y se debería adaptar a las necesidades y a la cultura de la organización. La gestión del riesgo debería ser una parte de, y no estar separada del propósito, la gobernanza, el liderazgo y compromiso, la estrategia, los objetivos y las operaciones de la organización.

5.4 DISEÑO

5.4.1 Comprensión de la organización y de su contexto

La organización debería analizar y comprender sus contextos externo e interno cuando diseñe el marco de referencia para gestionar el riesgo.

El análisis del contexto externo de la organización puede incluir, pero no limitarse a:

  • los factores sociales, culturales, políticos, legales, reglamentarios, financieros, tecnológicos, económicos y ambientales ya sea a nivel internacional, nacional, regional o local;
  • los impulsores clave y las tendencias que afectan a los objetivos de la organización;
  • las relaciones, percepciones, valores, necesidades y expectativas de las partes interesadas externas;
  • las relaciones contractuales y los compromisos;
  • la complejidad de las redes y dependencias.

El análisis del contexto interno de la organización puede incluir, pero no limitarse a:

  • la visión, la misión y los valores;
  • la gobernanza, la estructura de la organización, los roles y la rendición de cuentas;
  • la estrategia, los objetivos y las políticas;
  • la cultura de la organización;
  • las normas, las directrices y los modelos adoptados por la organización;
  • las capacidades, entendidas en términos de recursos y conocimiento (por ejemplo, capital, tiempo, personas, propiedad intelectual, procesos, sistemas y tecnologías);
  • los datos, los sistemas de información y los flujos de información;
  • las relaciones con partes interesadas internas, teniendo en cuenta sus percepciones y valores;
  • las relaciones contractuales y los compromisos;
  • las interdependencias e interconexiones.

5.4.2 Articulación del compromiso con la gestión del riesgo

La alta dirección y los organismos de supervisión, cuando sea aplicable, deberían articular y demostrar su compromiso continuo con la gestión del riesgo mediante una política, una declaración u otras formas que expresen claramente los objetivos y el compromiso de la organización con la gestión del riesgo. El compromiso debería incluir, pero no limitarse a:

  • el propósito de la organización para gestionar el riesgo y los vínculos con sus objetivos y otras políticas;
  • el refuerzo de la necesidad de integrar la gestión del riesgo en toda la cultura de la organización;
  • el liderazgo en la integración de la gestión del riesgo en las actividades principales del negocio y la toma de decisiones;

La comunicación y la consulta deberían ser oportunas y asegurar que se recopile, consolide, sintetice y comparta la información pertinente, cuando sea apropiado, y que se proporcione retroalimentación y se lleven a cabo mejoras.

5.5 IMPLEMENTACIÓN

La organización debería implementar el marco de referencia de la gestión del riesgo mediante:

  • el desarrollo de un plan apropiado incluyendo plazos y recursos;
  • la identificación de dónde, cuándo, cómo y quién toma diferentes tipos de decisiones en toda la organización;
  • la modificación de los procesos aplicables para la toma de decisiones, cuando sea necesario;
  • el aseguramiento de que las disposiciones de la organización para gestionar el riesgo son claramente comprendidas y puestas en práctica.

La implementación con éxito del marco de referencia requiere el compromiso y la toma de conciencia de las partes interesadas. Esto permite a las organizaciones abordar explícitamente la incertidumbre en la toma de decisiones, al tiempo que asegura que cualquier incertidumbre nueva o subsiguiente se pueda tener en cuenta cuando surja.

Si se diseña e implementa correctamente, el marco de referencia de la gestión del riesgo asegurará que el proceso de la gestión del riesgo sea parte de todas actividades en toda la organización, incluyendo la toma de decisiones, y que los cambios en los contextos externo e interno se captarán de manera adecuada.

5.6 VALORACIÓN

Para valorar la eficacia del marco de referencia de la gestión del riesgo, la organización debería:

  • medir periódicamente el desempeño del marco de referencia de la gestión del riesgo con relación a su propósito, sus planes para la implementación, sus indicadores y el comportamiento esperado;
  • determinar si permanece idóneo para apoyar el logro de los objetivos de la organización.

5.7 MEJORA

5.7.1 Adaptación

La organización debería realizar el seguimiento continuo y adaptar el marco de referencia de la gestión del riesgo en función de los cambios externos e internos. Al hacer esto, la organización puede mejorar su valor.

5.7.2 Mejora continua

La organización debería mejorar continuamente la idoneidad, adecuación y eficacia del marco de referencia de la gestión del riesgo y la manera en la que se integra el proceso de la gestión del riesgo.

Cuando se identifiquen brechas u oportunidades de mejora pertinentes, la organización debería desarrollar planes y tareas y asignarlas a quienes tuviesen que rendir cuentas de su implementación. Una vez implementadas, estas mejoras deberían contribuir al fortalecimiento de la gestión del riesgo.

6. PROCESO

6.1 GENERALIDADES

El proceso de la gestión del riesgo implica la aplicación sistemática de políticas, procedimientos y prácticas a las actividades de comunicación y consulta, establecimiento del contexto y evaluación, tratamiento, seguimiento, revisión, registro e informe del riesgo. Este proceso se ilustra en la Figura 4.

Figura 4. Proceso

El proceso de la gestión del riesgo debería ser una parte integral de la gestión y de la toma de decisiones y se debería integrar en la estructura, las operaciones y los procesos de la organización. Puede aplicarse a nivel estratégico, operacional, de programa o de proyecto.

Puede haber muchas aplicaciones del proceso de la gestión del riesgo dentro de la organización, adaptadas para lograr objetivos, y apropiadas a los contextos externo e interno en los cuales se aplican.

A lo largo del proceso de la gestión del riesgo se debería considerar la naturaleza dinámica y variable del comportamiento humano y de la cultura.

Aunque el proceso de la gestión del riesgo se presenta frecuentemente como secuencial, en la práctica es iterativo.