ISO 31000 Riesgos Corporativos
Páginas: 10 (2276 palabras)
Publicado: 25 de abril de 2015
Ing. Carlos Ormella Meyer y Asoc.
Gestión y Auditoría de Riesgos y Seguridad de la Información
Tel: +54-11-4371-4638 – Cel: +54-911-6513-2751
E-mail: ciprio@ingcomyasoc.com.ar
NORMA ISO 31000 DE RIESGOS CORPORATIVOS
La norma ISO 31000 establece principios y guías para el diseño, implementación y mantenimiento de la
gestión de riesgos en forma sistemática y transparente de toda forma de riesgoen cualquier contexto.
Esta norma responde a una internacionalización de la norma AS/NZS 4360 que, desde hace años se viene
aplicando especialmente en Australia y Nueva Zelanda, pero también en otros países, habiendo sido incluso
traducida en varios países como Argentina (IRAM 17550).
.
La ISO 31000 se publicó en noviembre de 2009, al mismo tiempo que una nueva versión de la Guide 73,
también de laISO, que ofrece una lista de más de 50 términos
referidos a la gestión de riesgos con sus correspondientes
ISO Guide 73
definiciones (ver recuadro ISO Guide 73).
Una de las definiciones más
trascendentes de esta Guía, por
Un punto trascendente de dicha Guía, y que se incorpora a la ISO
el cambio que implica respecto a
31000, es el nuevo concepto de riesgo.
definiciones anteriores, dice que:
“elriesgo es el efecto de la
Efectivamente, hasta ahora el riesgo se ha venido tratando como
incertidumbre en los objetivos”.
la posibilidad que algo ocurra que tenga un impacto en los
objetivos.
Esta conexión entre riesgos y
objetivos implica que una
Pero a partir de la ISO 31000, el riesgo se define (con ajuste a la
organización debe definir y
Guide 73) en términos del efecto de la incertidumbre enlos
expresar en forma total y
objetivos.
exhaustiva sus objetivos.
La nueva definición implica que la palabra “riesgo” se refiere
tanto a las situaciones negativas tradicionales de riesgo
(downside risk ) que provocan pérdidas, como a las situaciones
positivas de riesgo (upside risk ), que constituyen oportunidades.
El nuevo concepto de riesgo y el concepto de oportunidades ha
sido incorporado enla ISO 27001 (1).
La norma ISO 31000 se puede aplicar a cualquier tipo de riesgo,
por ejemplo financieros, de infraestructura, de operación, de
mercado, de imagen/reputación corporativa, etc., además por
supuesto de la seguridad de la información
Este concepto también se ha incorporado a la ISO 27001 en el
tema de Valuación de Riesgos (1).
La generalización de los tipos de riesgos implica que lanorma no
está pensada para un sistema de gestión en particular ni tampoco
para un grupo particular de empresas, sino más bien para proveer
una estructura de mejores prácticas y guía para todas las
operaciones relacionadas con la gestión de riesgos.
Varias Notas complementan la
nueva definición. Entre ellos se
destacan dos.
Una de ellas establece que la
desviación de lo esperado en los
objetivospuede ser positiva y/o
negativa.
Otra de las Notas, define que los
objetivos pueden responder a
diferentes aspectos, tales como
metas financieras, de salud y
seguridad, y ambiental, y que
pueden aplicarse a diferentes
niveles tales como estratégico, de
proyecto, producto y proceso, o
incluso de toda la organización.
en toda la organización,
Esta aproximación en la formalización de las prácticas degestión de riesgos facilita una mayor adopción por
empresas que requieren una norma de gestión de riesgos empresariales que permita incluir múltiples
sistemas de gestión.
De esta manera, el alcance de la norma a la gestión de riesgos consiste en habilitar todas las tareas
estratégicas, de gestión y operacionales de una organización por medio de proyectos, funciones y procesos
alineados a unconjunto común de objetivos de gestión de riesgos.
22/04/2014 - 17:49:55
© Ing. Carlos Ormella Meyer
ISO 31000 - Página 1 de 5
Ing. Carlos Ormella Meyer y Asoc.
Gestión y Auditoría de Riesgos y Seguridad de la Información
Tel: +54-11-4371-4638 – Cel: +54-911-6513-2751
E-mail: ciprio@ingcomyasoc.com.ar
De la misma manera que el nuevo concepto de riesgo con las oportunidades y la valuación de...
Gestión y Auditoría de Riesgos y Seguridad de la Información
Tel: +54-11-4371-4638 – Cel: +54-911-6513-2751
E-mail: ciprio@ingcomyasoc.com.ar
NORMA ISO 31000 DE RIESGOS CORPORATIVOS
La norma ISO 31000 establece principios y guías para el diseño, implementación y mantenimiento de la
gestión de riesgos en forma sistemática y transparente de toda forma de riesgoen cualquier contexto.
Esta norma responde a una internacionalización de la norma AS/NZS 4360 que, desde hace años se viene
aplicando especialmente en Australia y Nueva Zelanda, pero también en otros países, habiendo sido incluso
traducida en varios países como Argentina (IRAM 17550).
.
La ISO 31000 se publicó en noviembre de 2009, al mismo tiempo que una nueva versión de la Guide 73,
también de laISO, que ofrece una lista de más de 50 términos
referidos a la gestión de riesgos con sus correspondientes
ISO Guide 73
definiciones (ver recuadro ISO Guide 73).
Una de las definiciones más
trascendentes de esta Guía, por
Un punto trascendente de dicha Guía, y que se incorpora a la ISO
el cambio que implica respecto a
31000, es el nuevo concepto de riesgo.
definiciones anteriores, dice que:
“elriesgo es el efecto de la
Efectivamente, hasta ahora el riesgo se ha venido tratando como
incertidumbre en los objetivos”.
la posibilidad que algo ocurra que tenga un impacto en los
objetivos.
Esta conexión entre riesgos y
objetivos implica que una
Pero a partir de la ISO 31000, el riesgo se define (con ajuste a la
organización debe definir y
Guide 73) en términos del efecto de la incertidumbre enlos
expresar en forma total y
objetivos.
exhaustiva sus objetivos.
La nueva definición implica que la palabra “riesgo” se refiere
tanto a las situaciones negativas tradicionales de riesgo
(downside risk ) que provocan pérdidas, como a las situaciones
positivas de riesgo (upside risk ), que constituyen oportunidades.
El nuevo concepto de riesgo y el concepto de oportunidades ha
sido incorporado enla ISO 27001 (1).
La norma ISO 31000 se puede aplicar a cualquier tipo de riesgo,
por ejemplo financieros, de infraestructura, de operación, de
mercado, de imagen/reputación corporativa, etc., además por
supuesto de la seguridad de la información
Este concepto también se ha incorporado a la ISO 27001 en el
tema de Valuación de Riesgos (1).
La generalización de los tipos de riesgos implica que lanorma no
está pensada para un sistema de gestión en particular ni tampoco
para un grupo particular de empresas, sino más bien para proveer
una estructura de mejores prácticas y guía para todas las
operaciones relacionadas con la gestión de riesgos.
Varias Notas complementan la
nueva definición. Entre ellos se
destacan dos.
Una de ellas establece que la
desviación de lo esperado en los
objetivospuede ser positiva y/o
negativa.
Otra de las Notas, define que los
objetivos pueden responder a
diferentes aspectos, tales como
metas financieras, de salud y
seguridad, y ambiental, y que
pueden aplicarse a diferentes
niveles tales como estratégico, de
proyecto, producto y proceso, o
incluso de toda la organización.
en toda la organización,
Esta aproximación en la formalización de las prácticas degestión de riesgos facilita una mayor adopción por
empresas que requieren una norma de gestión de riesgos empresariales que permita incluir múltiples
sistemas de gestión.
De esta manera, el alcance de la norma a la gestión de riesgos consiste en habilitar todas las tareas
estratégicas, de gestión y operacionales de una organización por medio de proyectos, funciones y procesos
alineados a unconjunto común de objetivos de gestión de riesgos.
22/04/2014 - 17:49:55
© Ing. Carlos Ormella Meyer
ISO 31000 - Página 1 de 5
Ing. Carlos Ormella Meyer y Asoc.
Gestión y Auditoría de Riesgos y Seguridad de la Información
Tel: +54-11-4371-4638 – Cel: +54-911-6513-2751
E-mail: ciprio@ingcomyasoc.com.ar
De la misma manera que el nuevo concepto de riesgo con las oportunidades y la valuación de...
Leer documento completo
Regístrate para leer el documento completo.