La gestión del riesgo contribuye a lograr los objetivos y mejorar el desempeño de una organización en áreas como la salud, seguridad, cumplimiento legal, reputación y calidad. Los riesgos a los que se enfrentan las organizaciones son variados e incluyen no satisfacer los requisitos del cliente, peligros ambientales, inocuidad alimentaria y seguridad de la información. La gestión del riesgo apoya sistemas de gestión como ISO 9001, ISO 14001 e ISO 27001. Se debe aplicar como un ciclo de mejora contin

1. GESTION DEL RIESGO
La gestión del riesgo contribuye de manera tangible al logro de los objetivos y a la mejora del desempeño, por
ejemplo, en lo referente a la salud y seguridad de las personas, a la conformidad con los requisitos legales y
reglamentos, a la aceptación por el público, a la protección ambiental, a la calidad del producto, a la gestión del
proyecto, a la eficacia en las operaciones, y a su gobierno y reputación.
Los riesgos a los que puede enfrentarse una organización son muy variados:
 No satisfacer los requisitos del cliente
 Peligros ambientales
 Riesgo de inocuidad alimentaria
 Peligro para el ser humano
 Seguridad de la información
Así pues, la gestión del riesgo apoya a otros sistemas de gestión como ISO 9001, ISO 14001, ISO 18000, ISO
22000, ISO 27001.
Ciclo de mejora continua
La gestión del riesgo aplicada al sistema de gestión de la calidad ISO 9001 o a otros sistemas de gestión, debe
verse también como un ciclo de mejora PHVA:
Planificar
 Establecer el sistema de gestión: alcance, política y objetivos
 Definir la metodología de valoración de riesgos
 Criterio de aceptación de riesgos
 Identificar los riesgos
 Analizar y evaluar los riesgos
 Identificar y evaluar opciones para el tratamiento de los riesgos
 Seleccionar objetivos de control y controles
 Obtener aprobación gerencial de los riesgos residuales
 Obtener aprobación gerencial para implementar y operar el SGC
Hacer
Implementar y operar el SGC
 Formular el plan de tratamiento de riesgos
 Implementar el plan de tratamiento de riesgos
 Implementar los controles seleccionados
 Definir como medir la eficacia de los controles
 Implementar un plan de entrenamiento y sensibilización
 Gestionar la operación del SGC

2.  Gestionar los recursos del SGC
 Implementar procedimientos para detectar y responder a eventos e incidentes
Verficar
Monitoreo y revisión de la eficacia del sistema de gestión y sus controles
 Ejecutar procedimientos de monitoreo y revisión
 Efectuar revisiones regulares de la eficacia del SGC
 Medir la eficacia de los controles
 Revisar, de acuerdo a un plan, la valoración de riesgos, el nivel de riesgos residuales y aceptables,
considerando los cambios en el ambiente
 Conducir auditorías internas del SGC de acuerdo a un plan
 Revisión periódica por la dirección
 Actualizar planes de seguridad en función de las actividades de monitoreo y revisión
 Registrar acciones y eventos que afecten la eficacia del SGC
Actuar
Mantener y Mejorar el SGC
 Implementar las mejoras identificadas
 Tomar acciones preventivas/correctivas. Aplicar lecciones aprendidas
 Comunicar los resultados a las partes interesadas
 Asegurar que las mejoras logran los objetivos esperados
Documentación
Algunos de los documentos que deben generarse son:
 Alcance del SGC
 Política y objetivos del SGC
 Procedimientos y controles en soporte al SGC
 Descripción de la metodología de valoración de riesgos
 Reporte de la valoración de riesgos
 Plan de tratamiento de riesgos
 Procedimientos documentados de la organización para la efectiva planeación, operación y control de los
procesos de seguridad de la información y de la forma de medir la eficacia de los controles.
 Registros requeridos por el estándar
 Documento de aplicabilidad (SOA)
 Procedimientos documentados