NMX Sast 31000 Imnc 2016

NORMA MEXICANA IMNC
ISO 31000:2009
NMX-SAST-31000-IMNC-2016
Gestión de riesgos — Principios y

directrices
Risk management – Principles and guidelines
SINEC20160119131705417 ICS 03.100.01
PROHIBIDA SU REPRODUCCIÓN PARCIAL O TOTAL – DERECHOS RESERVADOS © IMNC 2016

Esta es una licencia que se otorga según lo establecido en la factura, quien no podrá utilizarla en un sistema de red informática, sistema de acceso simultáneo,
unidad de proceso central múltiple, sistema multi-usuarios o similares, salvo autorización escrita del IMNC o su factura indique lo contrario. Los derechos de
explotación de las normas pertenecen exclusivamente al IMNC quien, otorga licencia de consulta al cliente responsable ,
JULIO C ROMERO GONZALEZ, de la Compañía: ITM, con e-mail: jromero@itmexicali.edu.mx, Transacción: 1629.
Prohibida su reproducción parcial o total.
NMX-SAST-31000-IMNC-2016 ISO 31000:2009
Derechos Reservados © IMNC 2016
Reservados los derechos de reproducción. Salvo prescripción diferente, no podrá reproducirse ni utilizarse
ninguna parte de esta publicación bajo ninguna forma y por ningún procedimiento, electrónico o mecánico,
fotocopias y microfilms.
Derechos reservados © IMNC ®
Manuel María Contreras 133, 6º piso, Col. Cuauhtémoc
Estados Unidos Mexicanos, Ciudad de México, código postal 06500
Estados Unidos Mexicanos
Teléfono: + 52 55 55 46 45 46
Fax: + 52 55 55 46 45 46 ext. 6150
Correo electrónico: normalizacion@imnc.org.mx
Página en internet: http://www.imnc.org.mx
Impreso en los Estados Unidos Mexicanos

SINEC20160119131705417
unidad de proceso central múltiple, sistema multi-usuarios o similares, salvo autorización escrita del IMNC o su factura indique ICS 03.100.01Los derechos de
lo contrario.
ii Prohibida su reproducción parcial o total. Derechos reservados © IMNC 2016
ISO 31000:2009 NMX-SAST-31000-IMNC-2016
Gestión de riesgos — Principios y directrices
NMX-SAST-31000-IMNC-2016
Prefacio
En la elaboración de la presente norma mexicana participaron las siguientes organizaciones:
 Asesoría Integral en Salud y Seguridad en el Trabajo
 Asociación de Normalización y Certificación, A.C.
 Comisión Federal de Electricidad
 Centro Nacional de Prevención de Desastres
 Instituto Mexicano de Normalización y Certificación, A.C.
 ITSEMAP STM
 Normalización y Certificación Electrónica S.C.
 Risk México, S.A. de C.V.
 Servicios Profesionales en Seguridad e Higiene en el Trabajo
 STPS/DGSST
 PEMEX
 Tecnología en Seguridad Integral, S.A. de C.V.
 VOLKSWAGEN de México
 VON MEIDING S.A. de C.V.
 Neural Risk
SINEC20160119131705417
unidad de proceso ICS 03.100.01
central múltiple, sistema multi-usuarios o similares, salvo autorización escrita del IMNC o su factura indique lo contrario.
Los derechos de
Derechos reservados © IMNC 2016 Prohibida su reproducción parcial o total. iii
NMX-SAST-31000-IMNC-2016 ISO 31000:2009
Contenido
Prólogo de la norma internacional .................................................................................................................. vi
Introducción ..................................................................................................................................................... vii
1 Objetivo y campo de aplicación ...........................................................................................................1
2 Términos y definiciones ........................................................................................................................1
3 Principios ................................................................................................................................................7
4 Marco de referencia ...............................................................................................................................9
4.1 Generalidades ........................................................................................................................................9
4.2 Responsabilidades y compromisos ................................................................................................. 11
4.3 Diseño del marco de referencia para la gestión de riesgos ........................................................... 11
4.4 Implementación de la gestión de riesgos ........................................................................................ 14
4.5 Seguimiento y revisión del de referencia ......................................................................................... 14
4.6 Mejora continua del marco de referencia ......................................................................................... 15
5 Procesos .............................................................................................................................................. 15
5.1 Generalidades ..................................................................................................................................... 15
5.2 Comunicación y consulta .................................................................................................................. 16
5.3 Establecer el contexto ........................................................................................................................ 17
5.4 Evaluación del riesgo ......................................................................................................................... 19
5.5 Tratamiento de riesgo ........................................................................................................................ 21
5.6 Seguimiento y revisión ...................................................................................................................... 23
5.7 Registros del proceso de gestión de riesgo .................................................................................... 23
6 Concordancia con normas internacionales ..................................................................................... 23
Anexo A (informativo) Atributos de la mejora de la gestión de riesgos ..................................................... 24
A.1 Generalidades ..................................................................................................................................... 24
A.2 Resultados clave................................................................................................................................. 24
A.3 Atributos .............................................................................................................................................. 24
7 Bibliografía .......................................................................................................................................... 26
SINEC20160119131705417
lo contrario.
iv Prohibida su reproducción parcial o total. Derechos reservados © IMNC 2016
ISO 31000:2009 NMX-SAST-31000-IMNC-2016
Prólogo
El Instituto Mexicano de Normalización y Certificación (IMNC) es una asociación civil, que cuenta con el Registro
No. 0002/F como Organismo Nacional de Normalización (ONN), para elaborar, actualizar, expedir y cancelar
Normas Mexicanas, con fundamento en los Artículos 39 fracción IV, 65 y 66 de la Ley Federal sobre Metrología y
Normalización y 23 fracción IV del Reglamento Interior de la Secretaría de Economía, en el campo de Sistemas de
Administración de la Seguridad y Salud en el Trabajo como se indica en el oficio número DGN.312.01.2000.137
de fecha 08 de mayo de 2000.
Se llama la atención sobre la posibilidad de que algunos de los elementos de esta norma mexicana puedan estar
sujetos a derechos de patente. El IMNC no asume responsabilidad por la identificación de cualquiera o todos los
derechos de patente, ni otorga licencias de uso sobre dichos derechos de patente.
La NMX-SAST-31000-IMNC-2016 ha sido elaborada por el Comité Técnico de Normalización Nacional de Sistemas

de Administración de Seguridad y Salud en el Trabajo IMNC/COTENNSASST/SC 5 y el IMNC/COTENNSASST/SC
5/Grupo de Trabajo Guadalajara
Esta norma mexicana fue emitida por el Instituto Mexicano de Normalización y Certificación, A.C.; y su declaratoria
de vigencia ha sido publicada por la Dirección General de Normas de la Secretaría de Economía, en el Diario
Oficial de la Federación el 17 de mayo de 2017.
SINEC20160119131705417
Los derechos de
Derechos reservados © IMNC 2016 Prohibida su reproducción parcial o total. v
NMX-SAST-31000-IMNC-2016 ISO 31000:2009
Prólogo de la norma internacional

ISO (la Organización Internacional de la normalización) es una federación mundial de organismos nacionales de
la normalización (organismos miembros de ISO). El trabajo de preparación de las normas internacionales
normalmente se realiza a través de los comités técnicos de la ISO. Cada organismo miembro interesado en un
tema para la cual se haya establecido un comité técnico, tiene el derecho de estar representado en dicho comité.
Las organizaciones internacionales, públicas y privadas, en coordinación con ISO, también participan en el trabajo.
ISO colabora estrechamente con la Comisión Electrotécnica Internacional (IEC) en todas las materias de la
normalización electrotécnica.
Las Normas Internacionales se redactan de acuerdo con las reglas establecidas en la Parte 2 de las directivas
ISO/IEC.
La tarea principal de los comités técnicos es preparar Normas Internacionales. Los proyectos de las Normas
Internacionales aceptados por los comités técnicos son enviados a los organismos miembros para votación. La
publicación como norma internacional requiere la aprobación por al menos el 75% de los organismos miembros
requeridos para votar.
Se llama la atención de la posibilidad de que algunos de los elementos de este documento puede ser objeto de
derechos de patente. La organización internacional de normalización ISO no se hace responsable de la
identificación de cualquier o todos los derechos de patente.
La Norma Internacional ISO 31000 fue preparada por el consejo de gestión técnica de ISO, grupo de trabajo de
gestión de riesgos.
SINEC20160119131705417
lo contrario.
vi Prohibida su reproducción parcial o total. Derechos reservados © IMNC 2016
ISO 31000:2009 NMX-SAST-31000-IMNC-2016
Introducción
Organizaciones de todo tipo y tamaño, afrontan factores e influencias internas y externas que pueden hacer incierto
el logro de sus objetivos. El efecto que esta incertidumbre tiene en los objetivos de las organizaciones es “riesgo”.
Todas las actividades de una organización involucran riesgos. Las organizaciones gestionan el riesgo mediante la
identificación, el análisis y evalúan entonces como el riesgo debería modificarse a través de un tratamiento de
riesgos, con el fin de satisfacer los criterios de riesgo. A lo largo de este proceso, el riesgo debería comunicarse y
consultarse con las partes interesadas; se da seguimiento y se revisa el riesgo y los controles que están
modificando el riesgo a fin de asegurar que no se requiera ningún otro tratamiento de riesgo adicional. Esta norma
mexicana describe en detalle el proceso sistemático y lógico.
Mientras que todas las organizaciones gestionan los riesgos por algún acuerdo, esta norma mexicana establece
los principios que deben cumplirse para ser satisfactoria y eficaz la gestión de riesgos. Esta norma mexicana
recomienda a las organizaciones desarrollar, implementar y mejorar continuamente el marco de referencia, cuyo
propósito es integrar el proceso para gestionar el riesgo en la organización, englobando la gobernabilidad,
estrategias, planeación, documentación de procesos, políticas, valores y cultura.
La gestión de riesgos puede aplicarse a toda la organización, o en algunas de sus áreas o niveles, en cualquier
momento, así como a las funciones específicas, proyectos y actividades.
Aunque la práctica de la gestión de riesgos ha sido desarrollada en el tiempo y dentro de muchos sectores a fin de
satisfacer diversas necesidades, la adopción de procesos sistemáticos dentro de un marco de referencia puede
ayudar a asegurar que el riesgo es gestionado eficaz, eficiente y coherentemente por la organización.
Un enfoque genérico se describe en esta norma mexicana que proporciona los principios y directrices para
gestionar cualquier riesgo de manera sistemática, transparente y aceptable dentro de cualquier campo de
aplicación y contexto.
Cada sector específico o aplicación de gestión de riesgos trae consigo necesidades individuales, audiencias,
percepciones y criterios. Por lo tanto, una característica clave de esta norma es incluir el "establecimiento del
contexto" como una actividad inicial del proceso genérico de gestión de riesgos.
Estableciendo el contexto se podrán capturar los objetivos de la organización, el entorno en el que se llevan a cabo
estos objetivos, las partes interesadas y la diversidad de criterios de riesgo, lo cual ayudará a revelar y evaluar la
naturaleza y la complejidad de sus riesgos.
La relación entre los principios de la gestión de riesgos, el marco de referencia en el que ocurren y el proceso de
gestión de riesgo se muestra en la Figura 1 de esta norma.
La gestión de riesgos cuando se implementa y se sustenta de acuerdo con la norma mexicana, permite a una
organización, por ejemplo:
 aumentar la probabilidad de lograr objetivos;
 fomenta la administración proactiva;
 ser consciente de la necesidad de identificar y tratar el riesgo en toda la organización
 mejora la identificación de oportunidades y amenazas;
 cumplir con los requisitos legales, reglamentarios pertinentes y las normas internacionales;
 mejorar los informes obligatorios y voluntarios;
SINEC20160119131705417
Los derechos de
Derechos reservados © IMNC 2016 Prohibida su reproducción parcial o total. vii
NMX-SAST-31000-IMNC-2016 ISO 31000:2009
 mejorar la gobernabilidad
 mejorar la credibilidad y confianza por las partes interesadas;
 establecer bases confiables para la toma de decisiones y planificación;
 mejorar controles
 asignar y utilizar eficazmente los recursos para el tratamiento de riesgos
 mejorar la eficacia y la eficiencia de la operación
 mejora la salud y seguridad, así como la protección del medio ambiente
 mejorar la prevención de pérdidas y la gestión de incidentes;
 minimizar las pérdidas;
 mejorar el aprendizaje de la organización; y
 mejorar la resiliencia de la organización
Esta norma mexicana tiene la intención de satisfacer las necesidades de una amplia gama de partes interesadas,
incluyendo:
a) los responsables de desarrollar la política de gestión de riesgos dentro de su organización;
b) los responsables de asegurar que el riesgo se gestione con eficacia dentro de la organización en su conjunto
o en un área, proyecto o actividad específica;
c) quienes evaluaran la eficacia de la gestión de riesgos dentro de la organización;
d) los desarrolladores de normas, guías, procedimientos y códigos de prácticas que, en todo o en parte, establece
cómo el riesgo se va a gestionar en el contexto específico de estos documentos.
Las actuales prácticas de gestión y procesos en muchas organizaciones, incluyen componentes de gestión de
riesgos, y muchas organizaciones ya han adoptado un proceso de gestión de riesgos formalmente para tipos de
riesgos o circunstancias particulares, En estos casos, una organización puede decidir llevar a cabo una evaluación
critica de sus prácticas y procesos existentes en términos de la presente norma mexicana.
Las expresiones "gestión del riesgo" y "gestionar el riesgo" en esta norma mexicana, son utilizados. En términos
generales, la "gestión del riesgo" se refiere a la arquitectura (principios, estructura y proceso) para una gestión de
riesgos eficaz, mientras que "gestionar el riesgo" se refiere a la aplicación del diseño a riesgos particulares.
SINEC20160119131705417
lo contrario.
viii Prohibida su reproducción parcial o total. Derechos reservados © IMNC 2016
ISO 31000:2009 NMX-SAST-31000-IMNC-2016
de
b) parte integral de los procesos
mejor
d) consideración explicita de la
e) sistemática, estructurada y
j) dinamismo, interactividad y
h) toma en cuenta los factores
k) Facilita la mejora continua y

i) transparente e incluyente
toma
general de la organización
la
información disponible
humanos y culturales
g) hecho a la medida
la
sensible al cambio
en
organizacionales
de
incertidumbre
a) crear valor
basada
decisiones
parte
oportuna
c)
f)
Figura 1— Relación entre los componentes del marco de referencia para la gestión de riesgos
SINEC20160119131705417
Los derechos de
Derechos reservados © IMNC 2016 Prohibida su reproducción parcial o total. ix
SIN TEXTO
ISO 31000:2009 NMX-SAST-31000-IMNC-2016
Gestión de riesgos — Principios y directrices
1 Objetivo y campo de aplicación
Esta norma mexicana proporciona principios y directrices de carácter genérico sobre la gestión de riesgos.
Esta norma mexicana puede ser utilizada por cualquier organización pública, privada o comunidad empresarial,
asociación, grupo o persona. Por lo tanto, esta norma no es específica para ninguna industria o sector.
NOTA Para mayor comodidad, todos los usuarios de esta norma se denominan con el término general de "Organización".
Esta norma mexicana puede ser aplicada durante la vida de una organización, y para un amplio rango de
actividades, incluyendo estrategias y decisiones, operaciones, procesos, funciones, proyectos, productos, servicios
y activos.
Esta norma mexicana puede aplicarse a cualquier tipo de riesgo de cualquier naturaleza, tenga consecuencias
positivas o negativas.
Esta norma mexicana proporciona directrices genéricas, no tiene como propósito promover la uniformidad en la
gestión del riesgo a través de las organizaciones. El diseño y la implementación de los planes de la gestión de
riesgos y el marco de referencia pueden tomar en cuenta algunas consideraciones dependiendo de las
necesidades de una organización en específico, sus objetivos particulares, contexto, estructura, operaciones,
procesos, funciones, proyectos, productos, servicios, activos y prácticas específicas de trabajo.
Esta norma mexicana se propone emplearse para armonizar los procesos de gestión del riesgo para normas
existentes y futuras. Esta norma proporciona un enfoque común en apoyo a normas relacionadas con riesgos
específicos o sectores y no reemplazan a estas normas.
Esta norma mexicana no está destinado a propósitos de certificación.
2 Términos y definiciones
Para los propósitos de esta norma mexicana, se aplican los términos y definiciones siguientes:
2.1
riesgo
efecto de la incertidumbre en los objetivos
NOTA 1 Un efecto es una desviación positiva y/o negativa, de lo esperado.
NOTA 2 Los objetivos pueden tener diferentes aspectos (tales como financiero, de salud y seguridad, y metas ambientales)
y pueden aplicarse a diferentes niveles (a nivel estratégico, a nivel de toda la organización, a nivel de un proyecto, de un
producto y de un proceso).
NOTA 3 El riesgo, frecuentemente se caracteriza en relación a eventos (2.17) y a consecuencias (2.18) potenciales, o a
una combinación de éstos.
NOTA 4 El riesgo, frecuentemente se expresa en términos de una combinación de las consecuencias de un evento
(incluyendo los cambios en las circunstancias) y la probabilidad (2.19) de ocurrencia asociada.
NOTA 5 La incertidumbre es el estado, incluso parcial, de la deficiencia de información relativa al, entendimiento o
conocimiento de, un evento, sus consecuencias o probabilidad.
unidad de proceso central múltiple, sistema multi-usuarios o similares, salvo autorización escrita del IMNC o su factura indique lo contrario.
SINEC20160119131705417 Los derechos de
explotación de las normas pertenecen exclusivamente al IMNC quien, otorga licencia de consulta al cliente responsable ICS
, 03.100.01
Derechos reservados © IMNC 2016 Prohibida su reproducción parcial o total. 1
NMX-SAST-31000-IMNC-2016 ISO 31000:2009
[ISO Guide 73:2009, definición 1.1]
2.2
gestión de riesgos
actividades coordinadas para dirigir y controlar una organización con relación al riesgo (2.1.)
2.3
marco de referencia de la gestión de riesgos
conjunto de componentes que proveen los fundamentos y disposiciones organizacionales para el diseño,
implementación, seguimiento (2.28), revisión y mejora continua de la gestión de riegos (2.2) en toda la
organización
NOTA 1 Los fundamentos incluyen la política, los objetivos, el mandato y el compromiso para gestionar el riesgo (2.1).
NOTA 2 Las disposiciones organizacionales incluyen planes, relaciones, rendición de cuentas, recursos, procesos y
actividades.
NOTA 3 El marco de referencia de la gestión de riesgo está incluido dentro de la estrategia global de la organización, y sus
prácticas y políticas operativas.
[ISO Guide 73:2009, definición 2.1.1]
2.4
política de la gestión de riesgos
declaración de las intenciones y directrices globales de una organización relacionadas con la gestión de riesgos
(2.2)
2.5
actitud ante el riesgo
enfoque de la organización para valorar y eventualmente seguir, retener, tomar o rechazar el riesgo (2.1)
[ISO Guide 73:2009, definición 3.7.1.1]
2.6
plan de la gestión del riesgo
programa dentro del marco de referencia de la gestión de riesgo (2.3) que especifica el enfoque, los
componentes y los recursos para ser aplicados a la gestión del riesgo (2.1)
NOTA 1 La gestión de los componentes generalmente incluyen procedimientos, prácticas, asignación de responsabilidades,
secuencias y calendarización de actividades.
NOTA 2 El plan de la gestión del riesgo puede ser aplicado a un producto en particular, proceso, proyecto y a una parte o a
toda la organización.
2.7
dueño del riesgo
persona o entidad con la redición de cuentas y autoridad para gestionar un riesgo (2.1)
SINEC20160119131705417
unidad de proceso central múltiple, sistema multi-usuarios o similares, salvo autorización escrita del IMNC o su factura indique ICS 03.100.01
lo contrario.
Los derechos de
2 Prohibida su reproducción parcial o total. Derechos reservados © IMNC 2016
ISO 31000:2009 NMX-SAST-31000-IMNC-2016
2.8
proceso de la gestión de riesgo
aplicación sistemática de políticas de la gestión del riesgo, procedimientos y prácticas para las actividades de
comunicación, consulta, establecimiento de contexto, identificación, análisis, evaluación, tratamiento, seguimiento
(2.28) y revisión del riesgo (2.1)
2.9
establecimiento del contexto
definir los parámetros internos y externos para ser tomados en cuenta cuando se gestiona el riesgo y establecer
el alcance y los criterios de riesgo (2.22) para la política de la gestión de riesgo (2.4)
2.10
contexto externo
ambiente externo en el que la organización busca alcanzar sus objetivos
NOTA El contexto externo puede incluir:
 ambiente cultural, social, político, legal, reglamentario, financiero, tecnológico, económico, natural y
competitivo, sea internacional, nacional, regional o local;
 factores clave y tendencias que tienen un impacto determinante en los objetivos de la organización; y
 relaciones con las partes interesadas (2.13) externa, sus percepciones y valores.
2.11
contexto interno
ambiente interno en el que la organización busca alcanzar sus objetivos
NOTA El contexto interno (3.2.3) puede incluir:
 la gobernabilidad, la estructura de organización, los roles y la rendición de cuentas;
 las políticas, los objetivos, y las estrategias que se han establecido para alcanzarlos;
 las capacidades entendidas en términos de recursos y conocimiento (por ejemplo, capital, tiempo, personal, procesos,
sistemas y tecnologías);
 los sistemas de información, los flujos de la información y los procesos de toma de decisiones (formales e informales);
 relaciones con las partes interesadas internas, sus percepciones y valores
 la cultura de la organización;
 las normas, guías y modelos adoptados por la organización, y
 la forma y extensión de las relaciones contractuales.
SINEC20160119131705417
unidad de proceso
, 03.100.01
Los derechos de
NMX-SAST-31000-IMNC-2016 ISO 31000:2009
2.12
comunicación y consulta
procesos continuos e iterativos que una organización conduce para proporcionar, compartir u obtener la
información y establecer el diálogo con las partes interesadas (2.1.3) respecto a la gestión de riesgo (2.1)
NOTA 1 La información puede relacionarse a la existencia, naturaleza, forma, probabilidad (2.19), significancia, evaluación,
aceptabilidad y tratamiento de la gestión de riesgo.
NOTA 2 La consulta es un proceso de dos sentidos de comunicación informada entre una organización y sus partes
interesadas sobre un tema antes de tomar una decisión o determinar una directriz a ese tema. La consulta es:
 un proceso que impacta sobre una decisión a través de influencia en lugar del poder; y
 una entrada para la toma de decisiones, no una toma de decisiones conjunta.
2.13
parte interesada
persona u organización que puedan afectar, ser afectadas, o percibirse que se afectarán por una decisión o una
actividad
NOTA 1 Un responsable de tomar decisiones es también una parte interesada.
NOTA 2 En las normas mexicanas NMX-SAST-001-IMNC (ver Bibliografía) y NMX-SAST-002-IMNC (ver Bibliografía) se
define este término como “persona o grupo, dentro o fuera del lugar de trabajo, preocupada con o afectada por el desempeño
de SST de una organización”.
2.14
evaluación de riesgo
proceso general que incluye: la identificación del riesgo (2.15), el análisis del riesgo (2.21) y la valoración del
riesgo (2.24)
2.15
identificación de riesgo
proceso de búsqueda, reconocimiento y descripción de riesgos (2.1)
NOTA 1 La identificación del riesgo, involucra la identificación de las fuentes de riesgo (2.16), eventos (2.17), sus causas
y sus consecuencias (2.18) potenciales.
NOTA 2 La identificación de riesgo puede involucrar datos históricos, análisis teórico, informes y opiniones de expertos, y
necesidades de la partes interesadas (2.13).
2.16
fuente de riesgo
elemento que por sí mismo, o en combinación, tiene el potencial de dar lugar a un riesgo (2.1)
SINEC20160119131705417
lo contrario.
Los derechos de
ISO 31000:2009 NMX-SAST-31000-IMNC-2016
2.17
evento
ocurrencia o cambio de un conjunto de circunstancias, en particular
NOTA 1 Un evento puede ser uno o más sucesos y puede tener varias causas.
NOTA 2 Un evento puede consistir en algo que no ha sucedido.
NOTA 3 Un evento puede ser algunas veces calificado como “incidente” o “accidente”.
NOTA 4 Un evento sin consecuencias (2.18) puede también ser llamado “cuasi accidente”, “incidente”, “suceso próximo”.
2.18
consecuencia
resultado de un evento (2.17) que afecta a los objetivos
NOTA 1 Un evento puede llevar a una gran variedad de consecuencias
NOTA 2 Una consecuencia puede ser cierta o incierta y puede tener efectos positivos o negativos en los objetivos.
NOTA 3 Las consecuencias se pueden ser expresadas cualitativa o cuantitativa.
NOTA 4 Las consecuencias iniciales pueden incrementarse a través de efectos encadenados.
2.19
probabilidad
eventualidad de que algo suceda
NOTA 1 En la terminología de gestión de riesgo, el término “likelihood” se usa para referirse a la posibilidad de que algo
ocurra, ya sea que esté definido, medido o determinado objetiva o subjetivamente, cualitativa o cuantitativamente, y descrito en
palabras o matemáticamente [como una probabilidad o una frecuencia en un período dado de tiempo].
NOTA 2 El término en inglés “likelihood” no tiene equivalente directo en algunos idiomas; en su lugar, con frecuencia se usa
un equivalente del término “probability”; sin embargo, en inglés, “probability” frecuentemente se interpreta estrechamente como
un término matemático; por lo tanto, en la terminología de la gestión de riesgo, “likelihood” se utiliza con la intención de que
deba tener la misma interpretación amplia que el término “probability” tiene en muchos lenguajes diferentes al inglés.
2.20
perfil del riesgo
descripción de cualquier conjunto de riesgos (2.1)
NOTA El conjunto de riesgos que pueden contener los que se refieren a toda la organización, parte de la organización o
según se defina relacionen con la organización, o parte de la organización, o según lo definido de otra manera.
2.21
análisis de riesgo
proceso para comprender la naturaleza del riesgo (2.1) y determinar el nivel de riesgo (2.23)
NOTA 1 El análisis del riesgo (2.24) proporciona las bases para la valoración de riesgo (2.24) y las decisiones acerca del
tratamiento
Esta es una licencia que
del riesgo.
se otorga según lo establecido en la factura, quien no podrá utilizarla en un sistema de red informática, sistema de acceso simultáneo,
SINEC20160119131705417
unidad de proceso
, 03.100.01
Los derechos de
NMX-SAST-31000-IMNC-2016 ISO 31000:2009
NOTA 2 El análisis del riesgo incluye la estimación de riesgo.
2.22
criterios de riesgo
términos de referencia contra los cuales se evalúa la importancia de un riesgo (2.1)
NOTA 1 Los criterios de riesgo se basan en los objetivos organizacionales, en el contexto externo (2.10) y en el contexto
interno (2.11).
NOTA 2 Los criterios de riesgo (3.2.4) pueden derivarse de normas, leyes, políticas y de otros requerimientos.
2.23
nivel de riesgo
magnitud de un riesgo (2.1) o de una combinación de riesgos, expresada en términos de la combinación de las
consecuencias (2.18) y de su probabilidad (2.19)
2.24
valoración de riesgo
proceso de comparar los resultados del análisis del riesgo (2.21) con los criterios de riesgo (2.22) para
determinar si el riesgo (2.1) o su magnitud es aceptable o tolerable
NOTA La valoración de riesgo ayuda en la toma decisiones al tratamiento del riesgo (2.25).
2.25
tratamiento de riesgo
proceso para modificar un riesgo (2.1)
NOTA 1 El tratamiento de riesgos puede incluir:
 evitar el riesgo mediante la decisión de no iniciar o continuar con la actividad que da lugar al riesgo;
 tomar o aumentar el riesgo con el fin de perseguir una oportunidad;
 remover la fuente del riesgo (2.16);
 cambiar la probabilidad (2.19)
 cambiar las consecuencias (2.18)
 compartir el riesgo con otra parte o partes (incluidos los contratos y el financiamiento de riesgo), y
 retener el riesgo mediante una decisión informada.
NOTA 2 Los tratamientos del riesgo que manejan las consecuencias negativas, a veces se conocen como “mitigación del
riesgo”, “eliminación del riesgo”, prevención del riesgo” y “reducción del riesgo”.
NOTA 3 El tratamiento del riesgo puede crear nuevos riesgos o modificar los riesgos existentes.

SINEC20160119131705417
lo contrario.
Los derechos de
ISO 31000:2009 NMX-SAST-31000-IMNC-2016
2.26
control
medida en que un riesgo (2.1) es modificado
NOTA 1 Los controles incluyen cualquier proceso, política, dispositivo, práctica, u otras acciones que modifiquen el riesgo.
NOTA 2 Los controles pueden no siempre ejercer el efecto modificador pretendido o supuesto.
2.27
riesgo residual
riesgo (2.1) que permanece después del tratamiento del riesgo (2.25)
NOTA 1 El riesgo residual puede contener un riesgo (2.1.1) no identificado.
NOTA 2 El riesgo residual también es conocido como “riesgo retenido”.
2.28
seguimiento
revisión continua, supervisión, observación crítica o determinación del estado actual para identificar cambios en el
nivel de desempeño requerido o esperado
NOTA La vigilancia puede aplicarse al marco de referencia de la gestión de riesgo (2.3), al proceso de gestión de
riesgo (2.8), al riesgo (2.1) o al control (2.26).
2.29
revisión
actividad tomada para determinar la idoneidad, adecuación y eficacia de las condiciones para alcanzar los objetivos
establecidos
NOTA La revisión se puede aplicar a un marco de referencia de la gestión de riesgo (2.3), al proceso de la gestión
de riesgos (3.1), riesgo (2.1) o control (2.26).
3 Principios
Para que la gestión de riesgos sea eficaz, una organización debería cumplir en todos los niveles, con los siguientes
principios:
a) La gestión de riesgos crea y protege el valor.
La gestión de riesgos contribuye a un cumplimiento demostrable de los objetivos y a la mejora del desempeño, por
ejemplo en; seguridad y salud humana, seguridad patrimonial, cumplimiento legal y de reglamentario, aceptación
del público (imagen, percepción y aceptación), protección ambiental, calidad del producto, gestión de proyectos,
eficiencia en la operación, autoridad y prestigio.
b) La gestión de riesgos es una parte integral de todos los procesos de la organización.
La gestión de riesgos no es una actividad independiente de los principales procesos y actividades de la

organización. La gestión de riesgos es parte de las responsabilidades de la dirección y un componente integral de
SINEC20160119131705417
unidad de proceso
, 03.100.01
Los derechos de
NMX-SAST-31000-IMNC-2016 ISO 31000:2009
todos los procesos de la organización, incluyendo la planificación estratégica y, todos los proyectos y cambios en
los procesos de gestión.
c) La gestión de riesgos es parte de la toma de decisiones.
La gestión de riesgos ayuda a los responsables de tomar decisiones a efectuar elecciones informadas, priorizar
acciones y decidir entre varias alternativas.
d) La gestión de riesgos de manera explícita considera la incertidumbre.
La gestión de riesgos de manera explícita considera la incertidumbre, su naturaleza y cómo se puede direccionar.
e) La gestión de riesgos es sistemática, estructurada y programada.
Un enfoque sistemático, estructurado y programado de la gestión de riesgos, contribuye a la eficiencia, la

consistencia y la obtención de resultados confiables y comparables.
f) La gestión de riesgos está basada en la mejor información disponible.
Las entradas para los procesos de la gestión de los riesgos está basada en fuentes de información tales como:
datos históricos, experiencia, retroalimentación de las partes interesadas, observación, pronósticos y juicio del
experto. Sin embargo, los responsables de tomar decisiones deberían tomar en consideración la información por
ella misma y la limitación de los datos o modelos usados, o la posibilidad de la divergencia de opiniones entre
expertos.
g) La gestión de riesgos está hecha a la medida de la organización.
La gestión de riesgos está alineada con los contextos interno y externo de la organización y con su perfil de riesgos
h) La gestión de riesgos considera los factores humanos y culturales.
La gestión de riesgos reconoce las capacidades, percepciones e intenciones de las personas internas y externas
que pueden facilitar o entorpecer el logro de los objetivos de la organización.
i) La gestión de riesgos es transparente e incluyente.
El involucramiento apropiado y oportuno de las partes interesadas, en particular, de los responsables de tomar
decisiones de todos los niveles de la organización, asegura que la gestión de riesgos permanezca pertinente y
actualizada. El involucramiento permite que las partes interesadas estén apropiadamente representadas y sus
puntos de vista sean considerados en la determinación de criterios de riesgo.
j) La gestión de riesgos es dinámica, reiterativa y sensible a los cambios.
La gestión de riesgos es continuamente sensible y responde a los cambios. Cuando ocurren eventos internos o
externos, el contexto y el conocimiento cambian, cuando el seguimiento y la revisión de los riesgos se llevan a
cabo, nuevos riesgos se manifiestan, algunos se modifican y otros desaparecen.
k) La gestión de riesgos facilita la mejora continua y general de la organización.
Las organizaciones deberían desarrollar e implementar estrategias para incrementar la madurez de su gestión de
riesgos, conjuntamente con todos los demás aspectos de la organización.
El Anexo A proporciona otras recomendaciones para las organizaciones que deseen gestionar los riesgos de
manera eficaz.
SINEC20160119131705417
lo contrario.
Los derechos de
ISO 31000:2009 NMX-SAST-31000-IMNC-2016
4 Marco de referencia
4.1 Generalidades
El éxito de la gestión de riesgos depende de la eficacia con que el marco de referencia proporcione los fundamentos
y las disposiciones que van a permear a través de todos los niveles de la organización. El marco de referencia
ayudará a una eficaz gestión de los riesgos a través de la aplicación del proceso de la gestión de riesgos (ver
clausula 5), en los diferentes niveles y en el contexto especifico de la organización. El marco de referencia asegura
que la información acerca de los riesgos, derivada del proceso de gestión de riesgos, sea adecuadamente
reportada y utilizada como base para la toma de decisiones y el rendimiento de cuentas en todos los niveles
relevantes de la organización.
Esta cláusula describe los componentes necesarios para el marco de referencia, para la gestión de riesgos y la
forma en que estos se interrelacionan de una manera interactiva, tal como se muestra en la Figura 2.
SINEC20160119131705417
unidad de proceso
, 03.100.01
Los derechos de
NMX-SAST-31000-IMNC-2016 ISO 31000:2009
Responsabilidades y compromisos
Diseño del marco de referencia para la gestión de riesgos (4.3)
Compresión de la organización y su contexto (4.3.1)
Estableciendo la política para la gestión de riesgos (4.3.2)
Responsabilidades (4.3.3)
Integración a los procesos de la organización (4.3.4)
Recursos (4.3.5)
Estableciendo los mecanismos de comunicación interna y los mecanismos de informe

(4.3.6)
Estableciendo la comunicación externa y los mecanismos de información (4.3.7)
Mejora continua del marco de referencia (4.6) Implementación de la gestión de riesgos (4.4)
Implementación del marco de referencia para gestionar

riesgos (4.4.1)
Implementación del proceso de gestión de riesgos (4.4.2)
Seguimiento y revisión del marco de referencia (4.5)
Figura 2 — Relación entre los componentes del marco de referencia para la gestión de riesgos
Este marco de referencia no pretende establecer un sistema de gestión, sino más bien, ayudar a la organización a
integrar la gestión de riesgos dentro de su sistema de gestión global. Por lo tanto, las organizaciones deberían
adaptar los componentes del marco de referencia a sus necesidades específicas.
Si en la organización ya existen procesos y prácticas de gestión que incluyen componentes de la gestión de riesgos
o si la organización ha adoptado ya un proceso de gestión para sus particulares tipos y situaciones de riesgo,
entonces estos deberían ser revisados y valorados críticamente, contrastándolos contra esta norma mexicana,
incluyendo los atributos incluidos en el Anexo A, a fin de determinar su adecuación y eficacia.
SINEC20160119131705417
lo contrario.
Los derechos de
ISO 31000:2009 NMX-SAST-31000-IMNC-2016
4.2 Responsabilidades y compromisos
La introducción de la gestión de riesgos y su eficaz implementación en una organización, requieren de un

compromiso firme y sostenido por parte de la dirección de la organización así como una estratégica y rigurosa
planeación para lograr el compromiso en todos los niveles. La dirección debería:
 definir y aprobar la política de gestión de riesgos;
 garantizar que la cultura de la organización y la política de gestión de riesgos estén alineadas;
 determinar indicadores de desempeño de la gestión de riesgos que estén alineados con los indicadores de
desempeño de la organización;
 alinear los objetivos de la gestión del riesgos con los objetivos y estrategias de la organización;
 garantizar el cumplimiento legal y regulatorio;
 asignar responsabilidades y rendimiento de cuentas en los niveles apropiados dentro de la organización;
 garantizar que los recursos necesarios sean destinados a la gestión de riesgos;
 comunicar los beneficios de la gestión de riesgos a todos los interesados; y
 asegurar que el marco de referencia para la gestión de riesgos continúe siendo el adecuado para la
organización.
4.3 Diseño del marco de referencia para la gestión de riesgos
4.3.1 Comprensión de la organización y de su contexto
Antes de iniciar el diseño y la implementación del marco de referencia para la gestión de riesgos, es importante
evaluar y entender tanto el contexto interno como el externo de la organización, ya que ambos pueden incidir
significativamente en el diseño del marco de referencia.
La evaluación del contexto externo de la organización debería incluir, pero no está limitado a:
a) el ambiente social y cultural, político, legal, reglamentario, financiero, tecnológico, económico, y competitivo,
en sus niveles internacional, nacional, regional o local;
b) los factores clave y las tendencias que impacten en los objetivos de la organización; y
c) las relaciones con las partes interesadas externas y las percepciones y los valores de estos.
La evaluación del contexto interno de la organización debería incluir, pero no se limita a:
 autoridad, estructura organizacional, funciones y responsabilidades;
 políticas, objetivos y las estrategias que están utilizándose para alcanzarlos;
 capacidades, entendidas en términos de recursos y conocimientos (por ejemplo; capital, tiempo, personas,
procesos, sistemas y tecnologías);
 sistemas de información, flujos de información y procesos de toma de decisiones (tanto formales como
informales);
SINEC20160119131705417
unidad de proceso
, 03.100.01
Los derechos de
NMX-SAST-31000-IMNC-2016 ISO 31000:2009
 las relaciones con las partes interesadas internas y las percepciones y los valores de estos;
 la cultura organizacional;
 normas, directrices y modelos adoptados por la organización; y
 la forma y el alcance de las relaciones contractuales.
4.3.2 Estableciendo la política para la gestión de riesgos
La política de gestión de riesgos debería establecer claramente los objetivos de la organización y su compromiso
con la gestión de riesgos. Generalmente incluye lo siguiente:
 los fundamentos de la organización para la gestión de riesgos;
 los vínculos entre los objetivos y las políticas de la organización, con la política de gestión de riesgos;
 la rendición de cuentas y responsabilidades para la gestión de riesgos;
 la forma en que los conflictos de interés serán atendidos;
 el compromiso de revisar y mejorar periódicamente la política de gestión de riesgos y el marco de referencia

en respuesta a un evento o cambio en las circunstancias.
 la forma en que los resultados de la gestión de riesgos serán medidos y reportados; y
 el compromiso de revisar y mejorar periódicamente la política de gestión de riesgos y el marco de referencia

y así como en respuesta a un suceso o cambio en las circunstancias.
La política de gestión de riesgos debería comunicarse adecuadamente.
4.3.3 Rendición de cuentas
La organización debería garantizar que exista rendición de cuentas, autoridad y competencias adecuadas para la
gestión de riesgos, incluyendo la implementación y el mantenimiento del proceso de gestión de riesgos y
asegurando su adecuación, la eficacia y la eficiencia de los controles. Esto puede ser facilitado por:
 identificar a los propietarios de los riesgos, mismos que tienen la responsabilidad y la autoridad para gestionar
los riesgos;
 identificar quién es el responsable de rendir cuentas por el desarrollo, implementación y mantenimiento del
marco de referencia de la gestión de riesgos;
 identificar otras responsabilidades en todos los niveles de la organización para el proceso de gestión de
riesgos;
 establecer la medición del desempeño y los reportes externos y/o internos, así como los procesos de
escalamiento; y
 garantizar adecuados niveles de reconocimiento.
4.3.4 Integración a los procesos de la organización
La gestión de riesgos debería estar integrada en todas las prácticas y los procesos de la organización, de manera
pertinente, eficaz y eficiente. El proceso de gestión de riesgos debería formar parte de, y no estar separado de los
SINEC20160119131705417
lo contrario.
Los derechos de
ISO 31000:2009 NMX-SAST-31000-IMNC-2016
procesos de la organización. Particularmente, la gestión de riesgos debería ser integrada en el desarrollo de la

política, la planeación estratégica y de negocios, así como la revisión y cambios en los procesos de gestión.
Debería haber un de plan de gestión de riesgos que incluya a toda la organización que asegure que la política de
gestión de riesgos sea implementada y esté integrada en todas las prácticas y procesos de la organización. El plan
de gestión de riesgos puede ser integrado dentro de los otros planes de la organización, tales como un plan
estratégico.
4.3.5 Recursos
La organización debería asignar los recursos suficientes para la gestión de riesgos.
Se debería considerar lo siguiente
 personal, habilidades, experiencia y competencia;
 los recursos necesarios para cada paso del proceso de gestión de riesgos;
 los procesos de la organización, métodos y herramientas que se utilizarán para la gestión de riesgos;
 procesos y procedimientos documentados;
 los sistemas de gestión de la información y el conocimiento;
 los programas de formación.
4.3.6 Establecimiento de los mecanismos de información y comunicación interna
La organización debería establecer los mecanismos de información y comunicación interna con el fin de exhortar
y apoyar la rendición de cuentas y la propiedad del riesgo. Estos mecanismos deberían asegurar que:
 los componentes clave del marco de referencia de la gestión de riesgos, y cualquier modificación posterior,
son comunicados apropiadamente;
 existen informes internos adecuados sobre el marco de referencia, su eficacia y salidas;
 la información pertinente derivada de la aplicación de la gestión de riesgos está disponible en los niveles y
tiempos apropiados; y
 existen los procesos de consulta con las partes interesadas internas.
Estos mecanismos deberían, cuando sea apropiado, incluir procesos para consolidar la información sobre los
riesgos, de una diversidad de fuentes, y podrían tener en cuenta la sensibilidad de la información.
4.3.7 Establecimiento de los mecanismos de información y comunicación externa
La organización debería desarrollar e implementar un plan de cómo se comunicará con las partes interesadas
externas. Este debería involucrar:
 la participación adecuada de las parte interesadas externas y asegurar un efectivo intercambio de información;
 los informes externos para cumplir con los requerimientos legales, reglamentarios y de gobierno;
 proporcionar retroalimentación e información acerca de la comunicación y consulta;
SINEC20160119131705417
unidad de proceso
, 03.100.01
Los derechos de
NMX-SAST-31000-IMNC-2016 ISO 31000:2009
 la comunicación para construir la confianza en la organización; y
 la comunicación con las partes interesadas en el caso de una crisis o contingencia.
Estos mecanismos deberían, cuando sea apropiado, incluir procesos para consolidar la información sobre los
riesgos, de una diversidad de fuentes, y podrían tener en cuenta la sensibilidad de la información.
4.4 Implementación de la gestión de riesgos
4.4.1 Implementación del marco de referencia para la gestión de riesgos
En la implementación del marco de referencia para la gestión de riesgos, la organización debería:
 definir el momento apropiado y la estrategia para la implementación del marco de referencia;
 aplicar la política y el proceso de gestión de riesgos a los procesos de la organización;
 cumplir con los requerimientos legales y reglamentarios;
 garantizar que la toma de decisiones, incluyendo el desarrollo y establecimiento de objetivos, está alineada
con los resultados de los procesos de gestión de riesgos;
 llevar a cabo sesiones de información y formación; y
 comunicar y consultar a las partes interesadas para asegurarse de que su marco de gestión de riesgos sigue
siendo apropiado.
4.4.2 Implementación del proceso de gestión de riesgos
La gestión de riesgos, debería implementar, para asegurar que el proceso de gestión de riesgos descrito en la
cláusula 5, se aplica mediante un plan de gestión de riesgos en todos los niveles y funciones pertinentes de la
organización como parte de sus prácticas y procesos.
4.5 Seguimiento y revisión del de referencia
Con el fin de asegurar que la gestión de riesgos es eficaz y continúa apoyando el desempeño organizacional, la
organización debería:
 medir el desempeño de la gestión de riesgos con indicadores, que sean revisados periódicamente para
asegurar su conveniencia;
 medir periódicamente la gestión de riesgos en la relación con los indicadores los cuales son periódicamente
revisados para su pertinencia;
 revisar periódicamente si el marco de referencia, la política y el plan de la gestión de riesgos, siguen siendo
adecuados, teniendo en cuenta el contexto externo e interno de las organizaciones;
 informar sobre los riesgos, el progreso con el plan de gestión de riesgos y qué tan bien se está siguiendo la
política de gestión de riesgos; y
 revisar la eficacia del marco de referencia de la gestión de riesgos.
SINEC20160119131705417
lo contrario.
Los derechos de
ISO 31000:2009 NMX-SAST-31000-IMNC-2016
4.6 Mejora continua del marco de referencia
Las decisiones deberían de ser tomadas en cómo la gestión de riesgo, la política y el plan pueden ser mejorados.
Basándose en los resultados del seguimiento y revisiones.
Estas decisiones deberían dirigir las mejoras de la gestión de riesgos y su cultura de la organización.
5 Procesos
5.1 Generalidades
El proceso de gestión del riesgo debería ser:
 una parte integral de la gestión,
 embebido en la cultura y las prácticas, y
 adaptados a los procesos de negocio de la organización.
Comprende las actividades descritas en 5.2 a 5.6. El proceso de gestión de riesgos se muestra en la Figura 3.
SINEC20160119131705417
unidad de proceso
, 03.100.01
Los derechos de
NMX-SAST-31000-IMNC-2016 ISO 31000:2009
Establecer el contexto (5.3)
Evaluación del riesgo (5.4)
Identificación del riesgo (5.4.2)
Comunicación y Seguimiento y
consulta (5.2) revisión (5.6)
Análisis del riesgo (5.4.3)
Valoración del riesgo (5.4.4)
Tratamiento del riesgo (5.5)
Figura 3 — El proceso de gestión de riesgos
5.2 Comunicación y consulta
La comunicación y consulta con las partes interesadas externas e internas deberían llevarse a cabo durante todas
las etapas del proceso de gestión de riesgos.
Por lo tanto, los planes de comunicación y consulta deberían desarrollarse en una etapa temprana. Estos deberían
abordar las cuestiones relacionadas con el riesgo en sí mismo, sus causas, consecuencias (sí son conocidas), y
las medidas adoptadas para tratarlo. Una comunicación efectiva y consulta interna y externa deberían llevarse a
cabo para asegurar que los responsables de la aplicación del proceso de gestión de riesgos y las partes interesadas
SINEC20160119131705417
lo contrario.
Los derechos de
ISO 31000:2009 NMX-SAST-31000-IMNC-2016
comprendan las bases sobre las cuales se toman las decisiones y razones por lo que las medidas particulares son
necesarias.
El equipo de consulta puede:
 ayudar a establecer apropiadamente el contexto;
 asegurar que los intereses de las partes interesadas sean entendidas y consideradas;
 ayudar a asegurar que los riesgos están adecuadamente identificados;
 conjuntar diferentes áreas de conocimiento y experiencia para analizar los riesgos;
 asegurar que los diferentes puntos de vista están debidamente considerados en la definición de criterios de
riesgo y en la evaluación de riesgos;
 asegurar el respaldo y el apoyo a un plan de tratamiento;
 mejorar la gestión del cambio durante el proceso de gestión de riesgos, y
 desarrollar un plan de comunicación interna y externa, y de consulta.
La comunicación y consulta con las partes interesadas es importante, ya que ellos pueden hacer juicios sobre el
riesgo basándose en sus percepciones de riesgo. Estas percepciones pueden variar debido a diferencias en los
valores, necesidades, suposiciones, conceptos y preocupaciones de las partes interesadas. Sus puntos de vista
puede tener un impacto significativo sobre las decisiones tomadas, las percepciones de las partes interesadas
deberían ser identificados, registrados, y tomarse en cuenta en el proceso de toma de decisiones.
La comunicación y la consulta deberían facilitar la veracidad, relevancia, precisión y comprensible intercambio de

información, teniendo en cuenta aspectos de confidencialidad e integridad personal.
5.3 Establecer el contexto
5.3.1 Generalidades
Al establecer el contexto, la organización define sus objetivos y parámetros internos y externos que deberían
tomarse en cuenta en la gestión de riesgos, y determina el campo de aplicación y criterios de riesgo para el resto
del proceso. Si bien muchos de estos parámetros son similares a las consideradas en el diseño del marco de
gestión de riesgos (ver 4.3.1), al establecer el marco para el proceso de gestión de riesgos, deberían ser
considerados con mayor detalle y cómo se relacionan en el campo de aplicación del proceso de gestión de riesgos
en particular.
5.3.2 Establecer el contexto externo
El contexto externo es el entorno externo en el que la organización busca alcanzar sus objetivos.
Comprender el contexto externo es importante para asegurar que los objetivos y preocupaciones de las partes
interesadas externas se consideran en el desarrollo de criterios de riesgo. Está basado en el contexto
organizacional, más amplio pero con detalles específicos de los requisitos legales y reglamentarios, las
percepciones de las partes interesadas y otros aspectos de riesgos específicos para el campo de aplicación del
proceso de gestión de riesgos.
El contexto externo puede incluir, pero no limitarse a:
SINEC20160119131705417
unidad de proceso
, 03.100.01
Los derechos de
NMX-SAST-31000-IMNC-2016 ISO 31000:2009
 entorno social y cultural, político, jurídico, reglamentario, financiero, tecnológico, económico, natural y
competitivo, ya sea internacional, nacional, regional o local;
 factores clave y tendencias que impacten a los objetivos de la organización; y
 las relaciones con, las percepciones y valores de las partes interesados externas.
5.3.3 Establecer el contexto interno
El contexto interno es el ambiente interno en el que la organización busca alcanzar sus objetivos.
El proceso de gestión de riesgos debería estar alineado con la cultura, procesos, estructura y estrategia de la
organización. El contexto interno se refiere a todo aquello dentro de la organización que pueda influir en la manera
en que ésta va a gestionar sus riesgos. Debería establecerse porque:
a) la gestión de riesgos se lleva a cabo dentro del contexto de los objetivos de la organización;
b) los objetivos y criterios de un determinado proyecto, proceso o actividad, deberían ser considerados
paralelamente con los objetivos de la organización como un todo; y
c) algunas organizaciones fallan al reconocer las oportunidades para el logro de sus objetivos: estratégicos, de
proyecto y de negocio; en consecuencia afecta el compromiso institucional en curso, la credibilidad, la
confianza y valor.
Es necesario comprender el contexto interno. Esto puede incluir, pero no limitarse a:
 control de la organización, la estructura organizacional, las funciones y responsabilidades;
 las políticas, los objetivos y las estrategias que están en marcha para alcanzarlos;
 capacidades, entendidas en términos de recursos y conocimientos (capital, por ejemplo, tiempo, personas,
procesos, sistemas y tecnologías);
 las relaciones entre las partes interesadas internas y, sus percepciones y valores;
 la cultura organizacional;
 los sistemas y flujos de información, y el proceso de toma de decisiones (tanto formales como informales);
 normas, directrices y modelos adoptados por la organización; y
 la forma y alcance de las relaciones contractuales.
5.3.4 Establecer el contexto del proceso de gestión de riesgos
Deberían estar establecidos los objetivos, estrategias, alcances y los parámetros de las actividades de la
organización, o en aquellas partes de la organización donde se aplica el proceso de gestión de riesgo. La gestión
del riesgo debería llevarse a cabo considerando de la necesidad de justificar los recursos utilizados en la
implementación y seguimiento de la gestión del riesgo. Los recursos necesarios, las responsabilidades y
autoridades, y los registros que deberían conservarse, también deberían ser especificados.
El contexto del proceso de gestión de riesgos puede variar de acuerdo a las necesidades de una organización.
Puede incluir, pero no se limita a:
 definir las metas y objetivos de las actividades de gestión de riesgos;

SINEC20160119131705417
lo contrario.
Los derechos de
ISO 31000:2009 NMX-SAST-31000-IMNC-2016
 definir las responsabilidades para, y dentro del proceso de gestión de riesgos;
 definir el alcance, así como la profundidad y amplitud de las actividades de gestión de riesgos que pueden
llevarse a cabo, especificando las inclusiones y exclusiones;
 definir la actividad, proceso, función, proyecto, producto, bienes o servicios en términos de tiempo y lugar;
 definir las relaciones entre proyecto, proceso o actividad en particulares y otros proyectos, procesos o
actividades de la organización;
 definir las metodologías para la evaluación de riesgos;
 definir el modo evaluación del desempeño y eficacia en la gestión de riesgos;
 identificar y especificar las decisiones que se deberían tomar; y
 Identificar, determinar el alcance o elaborar los estudios necesarios, su amplitud y objetivos y los recursos que
requieren esos estudios.
La atención a estos y otros factores relevantes deberían ayudar a asegurar que el enfoque de gestión de riesgos
adoptado resulte adecuado para las circunstancias, para la organización y para los riesgos que afectan al logro de
sus objetivos.
5.3.5 Definición de criterios de riesgo
La organización debería definir los criterios que se utilizarán para evaluar la importancia del riesgo. Los criterios
deberían reflejar los valores, objetivos y recursos de la organización. Algunos criterios pueden ser impuestos por,
o derivados de, los requisitos legales y reglamentarios, y otros requisitos a los cuales la organización se suscriba.
Los criterios de riesgo deberían ser consistentes con la política de gestión de riesgos de la organización (ver 4.3.2),
estar definidos al comienzo de cualquier proceso de gestión de riesgos y revisarse continuamente.
Al definir los criterios de riesgo, los factores a considerar deberían incluir lo siguiente:
 la naturaleza y los tipos de causas y consecuencias, que pueden ocurrir y como serán medidos;
 cómo será definida la probabilidad;
 la probabilidad y/o consecuencia (s);
 cómo determinar el nivel de riesgo;
 las opiniones de las partes interesadas;
 el nivel en el cual se convierte en riesgo aceptable o tolerable; y
 cuando existan combinaciones de riesgos múltiples que deberían tenerse en cuenta y, en caso afirmativo,
cómo y qué combinaciones deberían ser consideradas.
5.4 Evaluación del riesgo
5.4.1 Generalidades
La evaluación de riesgos es el proceso general de identificación, análisis y valoración de riesgos.
NOTA La ISO 31010 (ver Bibliografía), proporciona orientación sobre las técnicas de evaluación de riesgos.
SINEC20160119131705417
unidad de proceso
, 03.100.01
Los derechos de
NMX-SAST-31000-IMNC-2016 ISO 31000:2009
5.4.2 Identificación del riesgo
La organización debería identificar las fuentes de riesgo, zonas de impactos, los acontecimientos (incluyendo los
cambios en las circunstancias) y sus causas y sus posibles consecuencias. El objetivo de este paso es generar
una lista exhaustiva de los riesgos basados en los acontecimientos que puedan crear, mejorar, prevenir, degradar,
acelerar o retrasar el logro de los objetivos. Es importante identificar los riesgos asociados que no ejercen una
oportunidad. La identificación completa es fundamental, porque si algún riesgo no es identificado en esta etapa no
se incluirá en el análisis posterior.
La identificación debería incluir los riesgos este o no este la fuente bajo el control de la organización, aunque la
fuente de riesgo o causa no sea evidente. La identificación de riesgos debería incluir el examen de los efectos en
cadena de consecuencias particulares, incluyendo efectos en cascada y acumulativos. También debería considerar
una amplia gama de consecuencias, incluso si la fuente de riesgo o causa no puede ser evidente. Así como la
identificación de lo que podría suceder, es necesario considerar las posibles causas y situaciones que muestran
las consecuencias que pueden ocurrir. Todas las causas y consecuencias importantes deberían ser consideradas.
La organización debería aplicar herramientas de detección de riesgos y técnicas que se adapten a sus objetivos y
capacidades, y a los riesgos que enfrentan. La información pertinente y actualizada es importante en la
identificación de riesgos. Esto debería incluir información de los antecedentes cuando sea posible. Las personas
con los conocimientos adecuados deberían participar en la identificación de riesgos.
5.4.3 Análisis del riesgo
El análisis de riesgos implica desarrollar la comprensión del riesgo. El análisis de riesgos proporciona una entrada
a la valoración del riesgo y las decisiones sobre los riesgos qué necesitan ser tratados, y las estrategias y métodos
más adecuados del tratamiento de riesgo. El análisis de riesgos también puede proporcionar información para la
toma de decisiones referente a la selección de las opciones en base a los diferentes tipos y niveles de riesgo.
El análisis del riesgo implica considerar las causas y las fuentes de riesgo, sus consecuencias positivas o negativos
y la probabilidad de que esas consecuencias pueden ocurrir. Los factores que afectan a las consecuencias y su
probabilidad deberían ser identificados. El riesgo se analiza mediante la determinación de las consecuencias y sus
probabilidades, y otros atributos del riesgo. Un evento puede tener múltiples consecuencias y puede afectar a
múltiples objetivos. Los controles existentes y su eficacia y eficiencia también deberían ser tomados en cuenta.
La forma en que las consecuencias y su probabilidad se expresan y la forma en que se combinan para determinar
un nivel de riesgo deberían reflejar el tipo de riesgo, la información disponible y el propósito para el qué la
evaluación de riesgos se va a utilizar. Esto debería ser consistente con los criterios de riesgo. También es
importante tener en cuenta la interdependencia de los diferentes riesgos y sus fuentes.
El nivel de confianza en la determinación del nivel de riesgo y su sensibilidad de las condiciones previas e hipótesis
deberían ser consideradas en el análisis, y comunicarse eficazmente a los responsables de tomar decisiones y,
cuando sea apropiado, a otras partes interesadas. Los factores como la divergencia de opiniones entre los
expertos, incertidumbre, disponibilidad, calidad, cantidad y continuidad de la relevancia de la información, o
limitaciones en la aplicación del modelo deberían ser declaradas, y pueden resaltarse.
El análisis de riesgo puede llevarse a cabo con diferentes grados de detalle, en función del riesgo, objetivo del
análisis e información, datos y recursos disponibles. El análisis pueden ser cualitativo, cuantitativo o semi-
cuantitativo, o una combinación de estos, dependiendo de las circunstancias.
Las consecuencias y su probabilidad pueden ser determinadas por la aplicación de un modelo a los resultados de
un evento o un conjunto de eventos, o por extrapolación a partir de estudios experimentales o de los datos
disponibles. Las consecuencias pueden ser expresadas en términos de efectos tangibles e intangibles. En algunos
casos, más que el valor numérico o la descripción se requiere especificar las consecuencias y su probabilidad para
distintos momentos, lugares, grupos o situaciones.
SINEC20160119131705417
lo contrario.
Los derechos de
ISO 31000:2009 NMX-SAST-31000-IMNC-2016
5.4.4 Valoración del riesgo
El propósito de la valoración de riesgo es ayudar en la toma de decisiones, basada en los resultados del análisis
de riesgo, sobre los riesgos que necesitan ser tratados y la prioridad para su implementación.
La valoración del riesgo involucra la comparación del nivel de riesgo identificado durante el proceso de análisis
contra los criterios de riesgos establecidos en la subcláusula 5.3 establecimiento de contexto. Basándose en esta
comparación, la necesidad de tratamiento puede ser considerado.
Las decisiones deberían tener en cuenta el contexto más amplio del riesgo e incluir la consideración de la tolerancia
de los riesgos asumidos por otras partes de la organización que se beneficia del riesgo. Las decisiones deberían
tomarse de conformidad con los requisitos legales, reglamentarios y otros.
En algunas circunstancias, la valoración de riesgo puede conducir a tomar una decisión de proceder a su posterior
análisis. La valoración del riesgo también puede dar lugar a la decisión de no tratar el riesgo de cualquier otra
forma y mantener los controles existentes. Esta decisión debería ser influida por la actitud de riesgo de la
organización y los criterios de riesgo que han sido establecidos.
5.5 Tratamiento de riesgo
5.5.1 Generalidades
El tratamiento de riesgo consiste en seleccionar una o más opciones para la modificación de riesgos, e implementar
estas opciones. Una vez implementados, el tratamiento proporciona los controles o los modifica.
El tratamiento de riesgo implica un proceso cíclico de:
 evaluar el tratamiento de riesgo;
 decidir si los niveles de riesgo residual son tolerables;
 si no son tolerables, generar un nuevo tratamiento de riesgo; y
 evaluar la eficacia del tratamiento.
Las opciones de tratamiento de riesgo no son necesariamente exclusivas o apropiadas para todas las
circunstancias. Las opciones pueden incluir los siguientes:
a) evitar el riesgo mediante la decisión de no iniciar o continuar con la actividad que da lugar al riesgo;
b) tomar o aumentar el riesgo con el fin de perseguir una oportunidad;
c) remover la fuente de riesgo;
d) cambiar la probabilidad;
e) cambiar las consecuencias;
f) compartir el riesgo con otra parte o partes (incluidos los contratos y el financiamiento de riesgo); y
g) mantener el riesgo por decisión informada.
SINEC20160119131705417
unidad de proceso
, 03.100.01
Los derechos de
NMX-SAST-31000-IMNC-2016 ISO 31000:2009
5.5.2 Selección de opciones de tratamiento de riesgo
La selección de la opción más adecuada para el tratamiento de riesgo consiste en equilibrar los costos y los
esfuerzos de la implementación contra los beneficios esperados y en función a los requisitos legales,
reglamentarios y otros como la responsabilidad social y la protección del medio ambiente. Las decisiones, también
deberían garantizar el tratamiento de riesgos que no se justifica por motivos económicos, por ejemplo, riesgos
severos (consecuencia negativa alta), pero raros (baja probabilidad).
Diversas opciones de tratamiento pueden ser consideradas y aplicadas de forma individual o combinada. La
organización se puede beneficiar normalmente de la adopción de una combinación de opciones de tratamiento.
En la selección de las opciones de tratamiento de riesgo, la organización debería considerar los valores y las
percepciones de las partes interesadas y los medios más adecuados para comunicarlas. Cuando las opciones de
tratamiento de riesgo pueden tener impacto sobre el riesgo de otras partes de la organización o con otras partes
interesadas, estos deberían participar en la decisión. Aunque igual de eficaces, algunos tratamientos de riesgo
pueden ser más aceptados por algunas partes interesadas que otras.
El plan de tratamiento de riesgo debería identificar claramente el orden de prioridad en que los tratamientos
individuales de riesgo deberían implementarse.
El tratamiento de riesgo en sí misma puede introducir otros riesgos. Un riesgo significativo puede ser el fracaso o
la ineficacia de las medidas para el tratamiento de riesgo. El seguimiento debería ser parte integral del plan de
tratamiento del riesgo y garantizar que las medidas continúen siendo eficaces.
El tratamiento del riesgo también puede introducir riesgos secundarios que deberían ser evaluados, tratados,
vigilados y revisados. Estos riesgos secundarios deberían ser incorporados en el mismo plan de tratamiento al
igual que el riesgo original y no tratarse como un nuevo riesgo. El vínculo entre los dos riesgos debería ser
identificado y mantenido.
5.5.3 Preparación e implementación de los planes de tratamiento de riesgo
El objetivo de los planes de tratamiento de riesgo es documentar cómo las opciones de tratamiento elegido se
llevan a cabo. La información proporcionada en los planes de tratamiento debería incluir:
 las razones para la selección de opciones de tratamiento, incluyendo los beneficios esperados que pueden
obtenerse;
 los responsables de la aprobación del plan y los responsables de la implementación;
 acciones propuestas;
 los requisitos de recursos incluidas las contingencias;
 medidas de desempeño y limitaciones;
 presentación de informes y los requisitos de seguimiento; y
 calendarización y cronograma.
Los planes de tratamiento deberían ser integrados con los procesos de gestión de la organización y discutido con
las partes interesadas pertinentes.
Los responsables de tomar decisiones y otras partes interesadas deberían ser conscientes de la naturaleza y el
alcance del riesgo residual después del tratamiento de riesgo. El riesgo residual debería ser documentado y
sometidos a vigilancia, examen y, en su caso, a tratamiento posterior.
SINEC20160119131705417
lo contrario.
Los derechos de
ISO 31000:2009 NMX-SAST-31000-IMNC-2016
5.6 Seguimiento y revisión
El seguimiento y la revisión deberían ser una parte planificada del proceso de gestión de riesgos e implica la
verificación periódica o la vigilancia. Puede ser periódica o a propósito para el caso.
Las responsabilidades para el seguimiento y revisión deberían estar claramente definidas.
El seguimiento de la organización y la revisión de los procesos deberían incluir todos los aspectos del proceso de
gestión de riesgos para los fines de:
 asegurar que los controles son eficaces y eficientes tanto en el diseño y funcionamiento;
 obtener más información para mejorar la evaluación de riesgo;
 analizar y aprender lecciones de los eventos (incluyendo cuasi accidentes), los cambios, las tendencias, éxitos
y fracasos;
 detectar cambios en el contexto externo e interno, incluidos los cambios en los criterios de riesgo y el riesgo
en sí mismo el cual puede requerir una revisión de los tratamientos de riesgo y prioridades; e
 identificar los riesgos generados.
El progreso en la implementación de los planes de tratamiento de riesgo proporciona una medida de desempeño.
Los resultados pueden incorporarse dentro de la gestión del desempeño global de la organización, la medición e
informes de actividades externas e internas.
Los resultados del seguimiento y la revisión deberían ser registrados, así como informes internos y externamente
de manera apropiada y deberían utilizarse como información de entrada en la revisión del marco de gestión de
riesgo (ver 4.5).
5.7 Registros del proceso de gestión de riesgo
Las actividades de gestión de riesgos deberían ser trazables. En el proceso de gestión de riesgos, los registros
proporcionan la base para la mejora de los métodos y herramientas, así como en todo el proceso.
Las decisiones relativas a la creación de registros deberían tener en cuenta:
 los necesidades de la organización para el aprendizaje continuo;
 los beneficios de la reutilización de la información para efectos de la gestión;
 los costos y esfuerzos involucrados en la creación y el mantenimiento de registros;
 los requisitos legales, reglamentarios y operativos;
 método de acceso, la facilidad para recuperarse y medios de almacenamiento;
 periodo de retención, y
 confidencialidad de la información.
6 Concordancia con normas internacionales

Esta norma mexicana es idéntica (IDT) con la norma internacional ISO 31000:2009 Risk management – Principles
and guidelines. Ed 1 (2009 noviembre).
SINEC20160119131705417
unidad de proceso
, 03.100.01
Los derechos de
NMX-SAST-31000-IMNC-2016 ISO 31000:2009
Anexo A
(informativo)
Atributos de la mejora de la gestión de riesgos
A.1 Generalidades
Todas las organizaciones deberían aspirar al nivel apropiado de desempeño en el marco de gestión de riesgo de
acuerdo a la criticidad de las decisiones a ser tomadas. La siguiente lista de atributos representa un alto nivel de
desempeño en la gestión de riesgos. Para ayudar a las organizaciones a medir su propio desempeño contra estos
criterios, algunos indicadores tangibles son dados para cada atributo.
A.2 Resultados clave
A.2.1 La organización tiene un entendimiento de los riesgos actualizado, correcto y completo.
A.2.2 Los riesgos de la organización están considerados dentro de sus criterios de riesgo.
A.3 Atributos
A.3.1 Mejora continua
Enfatizar en la mejora continua de la gestión de riesgo a través de la adecuación de los objetivos del desempeño
organizacional, metas, medición, revisión y la subsecuente modificación de procesos, sistemas, recursos,
capacidades y habilidades.
Esto puede ser indicado por la existencia de las metas explícitas contra los cuales es medido el desempeño de la
gestión de la organización. El desempeño de la organización debe ser publicado y comunicado. Normalmente
deberá existir al menos una revisión anual de desempeño y después una revisión de los procesos así como el
establecimiento de los objetivos de desempeño que serán revisados para el siguiente período.
Esta evaluación de la gestión de riesgos es una parte integral de la evaluación del desempeño de la organización
completa y del sistema de medición por departamentos e individualmente.
A.3.2 Total rendición de cuentas para riesgos
Una gestión de riesgos mejorada incluye una amplia, bien definida y completamente aceptada rendición de cuentas
para el control y las tareas de tratamiento de riesgos. Los individuos designados aceptan la rendición de cuentas
completamente, están apropiadamente capacitados y cuentan con los recursos adecuados para verificar los
controles, seguimiento de los riesgos, mejora de los controles y para comunicar de manera efectiva los riesgos y
su gestión a las partes interesadas externas e internas.
Es conveniente que todos los miembros de una organización que están totalmente consientes de los riesgos, los
controles y las tareas de las cuales son responsables. Normalmente, esto estará registrado en las descripciones
del puesto, bases de datos o sistemas de información. La definición de las funciones de gestión de riesgo y la
rendición de cuentas y responsabilidades deberían ser parte de todos los programas de inducción de la
organización.
La organización asegura que aquellos que son responsables de rendición de cuentas están dotados para cumplir
con su función proporcionándoles la autoridad, tiempo, entrenamiento, recursos y habilidades suficientes para
asumir todas sus responsabilidades.
SINEC20160119131705417
lo contrario.
Los derechos de
ISO 31000:2009 NMX-SAST-31000-IMNC-2016
A.3.3 Aplicación de la gestión de riesgo en la toma de decisiones
En la toma de decisiones dentro de la organización, cualquiera que sea el nivel de importancia y significancia,
involucra la consideración explícita de los riesgos y la aplicación de la gestión de riesgo en los grados apropiados.
Esto puede estar evidenciado en los registros de reuniones y sus decisiones que muestren que tuvieron lugar
discusiones explícitas sobre los riesgos. Adicionalmente, debería ser posible observar que todos los componentes
de la gestión de riesgo están representados dentro de los procesos clave para la toma de decisiones en la
organización, por ejemplo las decisiones sobre la asignación del capital, sobre los principales proyectos y sobre la
reestructuración y cambios en la organización. Por estas razones, la gestión de riesgo bien fundamentada es vista
dentro de la organización para proporcionar las bases para una dirección eficaz.
A.3.4 Comunicación continua
La gestión de riesgo mejorada incluye la comunicación continua con las partes interesadas internas y externas,
incluyendo los informes generales y frecuentes del funcionamiento de la gestión de riesgo, como parte de una
buena dirección.
Esto puede ser indicado por la comunicación con los directivos como un componente integral y esencial de la
gestión de riesgos. La comunicación es un proceso de dos direcciones, que permite tomar decisiones
apropiadamente informadas acerca del nivel de los riesgos y de la necesidad de su tratamiento contra los criterios
de riesgos apropiadamente establecidos y exhaustivos.
El informe interno y externo frecuente y exhaustivo, sobre la significancia de los riesgos y el desempeño de la
gestión de riesgo contribuye sustancialmente a una dirección efectiva dentro de la organización.
A.3.5 Integración completa en la estructura de la dirección de la organización
La gestión de riesgos es un punto central en los procesos de gestión de la organización, de manera que los riesgos
son considerados en términos del efecto de incertidumbre sobre los objetivos. La estructura y el proceso de
dirección están basados en la gestión de riesgos. La gestión de riesgo eficaz es vista por los directores como
esencial para la consecución de los objetivos de la organización.
La gestión de riegos está considerada en el lenguaje de los directores y en materiales escritos importantes en la
organización usando el término “incertidumbre” en conexión con los riesgos. Este atributo también está
normalmente reflejado en los lineamientos de política de la organización, particularmente aquellos relacionados
con la gestión de riesgos. Generalmente, este atributo se debería verificar a través de entrevistas con los directores
y en la evidencia de sus acciones y lineamientos.
SINEC20160119131705417
unidad de proceso
, 03.100.01
Los derechos de
NMX-SAST-31000-IMNC-2016 ISO 31000:2009
7 Bibliografía
[1] NMX-SAST-001-IMNC-2008, Sistemas de gestión de Seguridad y Salud en el Trabajo – Requisitos. Publicada
en el Diario Oficial de la Federación el 08 de julio de 2008.
[1] NMX-SAST-002-IMNC-2001, Sistemas de Administración de Seguridad y Salud en el Trabajo - Guía para la

implementación de NMX-SAST-001-IMNC-2000. Publicada en el Diario Oficial de la Federación el 07 de
febrero de 2001.
[2] ISO Guide 73:2009, Risk management – Vocabulary. Ed 1 (2009 noviembre).
[3] ISO/IEC 31010, Risk management - Risk assessment techniques. Ed 1 (2009 noviembre).
SINEC20160119131705417
lo contrario.
Los derechos de
SIN TEXTO
Manuel Ma. Contreras 133, 6º Piso
Col. Cuauhtémoc
C. P. 06500, Ciudad de México
Tels. (01 55) 5546 4546
Fax: (01 55) 5546 4546 ext. 6150
Lada sin costo: 01 800 201 01 45
Correo electrónico: normalizacion@imnc.org.mx
web: http://www.imnc.org.mx

NMX Sast 31000 Imnc 2016

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

NMX Sast 31000 Imnc 2016

Загружено:

Авторское право:

Доступные форматы

NORMA MEXICANA IMNC

Gestión de riesgos — Principios y

Risk management – Principles and guidelines

SINEC20160119131705417 ICS 03.100.01

PROHIBIDA SU REPRODUCCIÓN PARCIAL O TOTAL – DERECHOS RESERVADOS © IMNC 2016

Derechos Reservados © IMNC 2016

Derechos reservados © IMNC ®

Manuel María Contreras 133, 6º piso, Col. Cuauhtémoc

Estados Unidos Mexicanos, Ciudad de México, código postal 06500

Estados Unidos Mexicanos

Fax: + 52 55 55 46 45 46 ext. 6150

Correo electrónico: normalizacion@imnc.org.mx

Página en internet: http://www.imnc.org.mx

Impreso en los Estados Unidos Mexicanos

Gestión de riesgos — Principios y directrices

 Asesoría Integral en Salud y Seguridad en el Trabajo

 Asociación de Normalización y Certificación, A.C.

 Comisión Federal de Electricidad

 Centro Nacional de Prevención de Desastres

 Instituto Mexicano de Normalización y Certificación, A.C.

 Normalización y Certificación Electrónica S.C.

 Risk México, S.A. de C.V.

 Servicios Profesionales en Seguridad e Higiene en el Trabajo

 Tecnología en Seguridad Integral, S.A. de C.V.

 VON MEIDING S.A. de C.V.

La NMX-SAST-31000-IMNC-2016 ha sido elaborada por el Comité Técnico de Normalización Nacional de Sistemas

Prólogo de la norma internacional

 aumentar la probabilidad de lograr objetivos;

 fomenta la administración proactiva;

 ser consciente de la necesidad de identificar y tratar el riesgo en toda la organización

 mejora la identificación de oportunidades y amenazas;

 mejorar los informes obligatorios y voluntarios;

 mejorar la credibilidad y confianza por las partes interesadas;

 establecer bases confiables para la toma de decisiones y planificación;

 asignar y utilizar eficazmente los recursos para el tratamiento de riesgos

 mejorar la eficacia y la eficiencia de la operación

 mejora la salud y seguridad, así como la protección del medio ambiente

 mejorar la prevención de pérdidas y la gestión de incidentes;

 minimizar las pérdidas;

 mejorar el aprendizaje de la organización; y

 mejorar la resiliencia de la organización

a) los responsables de desarrollar la política de gestión de riesgos dentro de su organización;

c) quienes evaluaran la eficacia de la gestión de riesgos dentro de la organización;

k) Facilita la mejora continua y

Gestión de riesgos — Principios y directrices

1 Objetivo y campo de aplicación

Esta norma mexicana no está destinado a propósitos de certificación.

NOTA 1 Un efecto es una desviación positiva y/o negativa, de lo esperado.

[ISO Guide 73:2009, definición 1.1]

[ISO Guide 73:2009, definición 2.1]

[ISO Guide 73:2009, definición 2.1.1]

[ISO Guide 73:2009, definición 2.1.2]

[ISO Guide 73:2009, definición 3.7.1.1]

[ISO Guide 73:2009, definición 2.1.3]

[ISO Guide 73:2009, definición 3.5.1.5]

[ISO Guide 73:2009, definición 3.1]

[ISO Guide 73:2009, definición 3.3.1]

NOTA El contexto externo puede incluir:

[ISO Guide 73:2009, definición 3.3.1.1]

NOTA El contexto interno (3.2.3) puede incluir:

 la gobernabilidad, la estructura de organización, los roles y la rendición de cuentas;

 relaciones con las partes interesadas internas, sus percepciones y valores

 las normas, guías y modelos adoptados por la organización, y