ISO 31000 - 2018. Principios y Directrices. Comparaciones General Con COSO
ISO 31000 - 2018. Principios y Directrices. Comparaciones General Con COSO
ISO 31000 - 2018. Principios y Directrices. Comparaciones General Con COSO
Principios
y directrices. Comparación
general con COSO
Por Francisco Javier Moreno
Contenido
Introducción ............................................................................................................................................................ 3
Entorno .................................................................................................................................................................... 3
Aplicaciones y tipos ................................................................................................................................................. 4
Logros directos e indirectos en la aplicación de la Norma ...................................................................................... 5
Caso base de aplicación de principios de ISO 31000 ............................................................................................... 6
Ámbito de aplicación ............................................................................................................................................... 6
Plan de implantación para su aplicación ................................................................................................................. 8
Fases de implantación......................................................................................................................................... 9
Relación entre implantación y certificación ..................................................................................................... 10
Puntos o hitos de la implantación .................................................................................................................... 10
Manual de gestión ................................................................................................................................................. 12
Funciones .......................................................................................................................................................... 12
Procedimientos ................................................................................................................................................. 13
Análisis de riesgos .................................................................................................................................................. 14
Determinación de la probabilidad .................................................................................................................... 14
Determinación de la severidad ......................................................................................................................... 16
Determinación de la tolerabilidad o tolerancia ............................................................................................... 16
Comparación general con COSO ............................................................................................................................ 18
Situaciones reales ............................................................................................................................................. 22
Conclusiones .......................................................................................................................................................... 24
Material de ampliación y consulta......................................................................................................................... 24
Página 2
Introducción
El propósito de la norma ISO 31000 es proporcionar principios y directrices para la gestión de riesgos
y el proceso implementado en el nivel estratégico y operativo.
La norma no es específica de ninguna industria o sector y puede ser utilizada por cualquier
organización pública o privada y aplicarse a cualquier tipo de riesgo en una amplia serie de actividades
y operaciones.
ISO 31000 es la referencia mundial en sistemas de gestión de riesgos, y elegirla permite colocar a la
organización a la vanguardia del mercado; además los shareholders/stakeholders confiarán en la
eficacia de la toma de decisiones estratégicas.
Fuente: UNIT
Entorno
La ISO 31000 puede aplicarse a cualquier entidad, ya sea pública, privada, asociación o grupo. De
todos modos, los principales interesados serán los encargados de las empresas que quieran garantizar
y demostrar la buena gestión del riesgo, y un compromiso firme frente a sus stakeholders del correcto
entendimiento y gestión del riesgo.
La Norma ISO 31000 no tiene mucha antigüedad, siendo la primera versión del año 2009, sin
embargo, la necesidad de adaptarlo a las nuevas situaciones de las empresas y facilitar su
utilización por ellas hizo necesario realizar una labor de revisión que finalizó con la versión de 2018.
Inicialmente se planeó, en la reunión de Chicago celebrada en septiembre del año 2013, como una
simple adaptación de determinados puntos con el fin de evitar grandes cambios técnicos, pero en la
Página 3
reunión celebrada en París en marzo del 2015 ya se vio la necesidad de realizar una revisión completa
que facilitara la aplicación de la norma por parte de los usuarios y así se ha seguido en todas las
reuniones celebradas desde ese momento.
El grupo ISO/TC 262, creado en el año 2011 y centrado en la normalización en el ámbito de la gestión
del riesgo, fue el encargado de llevar a cabo la revisión, unificando la opinión de los distintos expertos
y adaptando los diversos comentarios recibidos en relación a la aplicación de la Norma ISO 31000 por
parte de las empresas para que sigan siendo estándares de alta calidad y que ofrezcan un
asesoramiento de alto nivel sobre la gestión del riesgo.
Actualmente se sigue trabajando en otras normas relacionadas con la gestión del riesgo
contando para ello con cuatro grupos de trabajo, 52 países participantes y 16 países
observadores.
Además, se busca en todos los puntos y requisitos del documento facilitar su adaptación a la
situación de las empresas, se simplifican textos y se generaliza para que puedan ser comprendidos
fácilmente.
Aplicaciones y tipos
Los tipos y aplicaciones se generan en función del tipo de riesgo al que dan cobertura.
Página 4
Por citar los más habituales:
•
Aumento de la probabilidad de lograr objetivos estratégicos.
•
Fomento de la proactividad empresarial.
•
Conciencia de la necesidad de identificar y tratar los riesgos de la organización.
•
Mejora de procesos
•
Identificación de riesgos y amenazas, pero también de oportunidades.
•
Cumplimiento normativo y legal.
•
Mejora de informes a nivel obligatorio o voluntario.
•
Mejora de la confianza de las partes interesadas (shareholders).
•
Establecimiento de bases de valor y confianza para la toma de decisiones.
•
Mejora de controles.
•
Visualización y reporting.
•
Asignación de recursos más eficaz y eficiente para el seguimiento de riesgos.
•
Reducción o eliminación de fallas, brechas o pérdidas de información o material sensible.
•
Mejora del conocimiento a nivel global de la organización.
•
Incremento del conocimiento del personal sobre la cadena de valor de la organización.
Página 5
Caso base de aplicación de principios de ISO 31000
Una vez identificados los elementos necesarios para su aplicación, así como los sectores de
aplicabilidad, en esta unidad se va a realizar una aproximación a una aplicación real bajo la perspectiva
de un SGR (sistema de gestión de riesgos) basado en la seguridad aeroportuaria.
Ámbito de aplicación
Siguiendo con el ejemplo que da hilo a la nota técnica, el gestor certificado de AESA implantará un
sistema de gestión de riesgos sobre la seguridad operacional que sea aceptable por la autoridad y que,
como mínimo:
•
Identifique los peligros de seguridad operacional.
•
Asegure la aplicación de las medidas correctivas necesarias para mantener un nivel aceptable de
seguridad operacional.
•
Prevea la supervisión permanente y la evaluación periódica del nivel de seguridad operacional
logrado.
•
Tenga como meta mejorar continuamente el nivel global de seguridad operacional.
Para generar un documento guía o manual de actuación, es necesario definir una serie de hechos y su
interpretación para la normalización.
•
Accidente de aviación civil: suceso relacionado con la utilización de una aeronave, desde el
momento en que una persona entre a bordo para realizar un vuelo hasta el desembarco de todos
los pasajeros y miembros de la tripulación, que motive la muerte o lesiones graves de personas,
definidas en la legislación penal vigente, produzca daños o roturas estructurales en la aeronave o
dé lugar a su desaparición o a que sea totalmente inaccesible.
Página 6
•
Análisis de carencias (Gap Analysis): es el proceso mediante el cual se analizan los procesos de
seguridad operacional existentes en la organización, para determinar qué componentes y
elementos del SGRS (sistema de gestión de riesgos de seguridad) están ya introducidos y cuáles
son los componentes y elementos que deben añadirse o modificarse para satisfacer los requisitos
de un SGRS aceptable.
•
Gestión de riesgos: identificación, análisis y eliminación (o mitigación a un nivel aceptable o
tolerable) de los peligros, y los consiguientes riesgos, que amenazan la viabilidad de la
organización.
•
Incidente aeroportuario: todo hecho en el que:
o se hayan producido:
o
lesiones o daños para la salud de las personas,
o daños a aeronaves, equipos, instalaciones o a bienes materiales,
o
pérdidas de productos o efectos negativos para el medio ambiente.
o o bien ha evidenciado la existencia de un riesgo o de un peligro debido a:
o interrupción del funcionamiento, fallos o defectos en equipos o instalaciones,
o
deficiencias o incumplimientos de un procedimiento o,
o
determinados comportamientos, hábitos o actitudes, que pueden dar lugar a la
aparición de un accidente.
o o bien ha provocado la interrupción total o parcial de las operaciones en curso.
•
Indicadores de Seguridad Operacional: conjunto de parámetros que caracterizan o tipifican el
nivel de seguridad operacional de un sistema. Sus valores son cuantificaciones de diversos
elementos de seguridad operacional.
•
Manual del Sistema de Gestión de Seguridad Operacional: documento que tiene por objeto
garantizar que se alcanza y se mantiene el nivel de seguridad operacional definido en la Política
de Seguridad Operacional, y del que forman parte tanto la Política como los Procedimientos de
Seguridad Operacional.
•
Peligro o amenaza: condición u objeto que potencialmente puede causar lesiones al personal,
daños al equipamiento o estructuras, pérdida de material, o reducción de la habilidad de
desempeñar una función determinada.
•
Plan de Implantación: planificación ordenada del proceso de elaboración y desarrollo de un SGRS
que ayudará al aeropuerto a preparar una estrategia realista para su implantación, proporcionado
una serie manejable de hitos y un marco de seguimiento.
•
Política de Seguridad Operacional: documento que refleja el compromiso adquirido por el gestor
aeroportuario para alcanzar, mantener y promocionar la seguridad operacional de su aeropuerto.
•
Responsable Corporativo: es la persona que posee capacidad plena para gestionar los medios
humanos, lo medios materiales y los recursos financieros del aeropuerto.
•
Riesgo de la Seguridad Operacional: la probabilidad y la severidad previstas de las
consecuencias o resultados de un peligro.
•
Seguridad Operacional: estado en el que los riesgos de seguridad operacional asociados a las
actividades de aviación se reducen y controlan a un nivel aceptable.
Página 7
•
Sistema de Gestión de Riesgos de Seguridad (SGRS): conjunto sistemático de procesos y
actividades para la gestión de la seguridad operacional que incluye las estructuras orgánicas, la
rendición de cuentas, las políticas y los procedimientos necesarios.
Deberá en primer lugar establecer un Plan de implantación, por fases y con hitos cronológicos,
que:
• ayudará al aeropuerto a preparar una estrategia realista para la implantación de un SGRS que
satisfaga los objetivos de seguridad operacional de la organización,
• proporcionará una serie manejable de hitos que permitirá orientar y trazar la implantación del
SGRS,
• proporcionará un marco de seguimiento y rendición de cuentas para la implantación del SGRS.
Este análisis involucra comparar los requisitos SGRS con los recursos existentes en el aeropuerto,
entendido éste como organización aeronáutica que pretende implantar un Sistema de Gestión de
Seguridad. Así, este análisis de las carencias debe proporcionar, en formato de lista de verificación,
información para ayudar a evaluar los componentes y elementos que integran el marco de la OACI
Página 8
(Organización de Aviación Civil Internacional) para SGRS e identificar los componentes y elementos
que serán necesarios desarrollar.
Una vez completado y documentado, el análisis de las carencias constituirá una de las bases del plan
de implantación del SGRS, no pudiéndose entender que el SGRS de un aeropuerto está
suficientemente implantando hasta que no haya resuelto adecuadamente el análisis de carencias
previamente identificado.
Fases de implantación
o
Diseño de bases de datos y canales de recepción y distribución de información y sucesos
relacionados con la seguridad operacional implantados.
o Estructura organizacional SGRS en funcionamiento.
o
Versión cerrada del Manual de SGRS de la organización.
o
Definición e inicial implantación de los procesos en la gestión de riesgos que se hayan diseñado.
o Indicadores de seguridad operacional y objetivos de seguridad operacional definidos.
o
Definición completa de requisitos a exigir en este ámbito a los terceros que operan en el
aeropuerto.
o
Fase I de formación planificada ejecutada.
o
Definición y puesta en conocimiento de accesos establecidos para el personal, a la información
de seguridad operacional desarrollada por la organización.
o
Medios de comunicación sobre seguridad operacional establecidos.
Página 9
o
Revisión y comunicación a AESA de los indicadores de seguridad operacional y objetivos de
seguridad operacional.
o
Realización de seminarios, de jornadas y charlas de promulgación del funcionamiento del SGRS
que se implanta.
o
Fase II de formación planificada ejecutada.
Fase IV. Finalización de la implantación e incorporación plena del SGRS a los procesos de
seguridad operacional dentro de la organización.
o
Convocatoria Comités de seguridad operacional para evaluación de la implantación del SGRS en
la organización.
o
Validación de la integración de las empresas terceras que operan en el aeropuerto desde el
punto de vista del funcionamiento del SGRS.
o
Ejecución completa y validación del Plan de formación previamente diseñado.
o
Auditoría interna de supervisión de implantación del SGRS completada.
o
Definición de objetivos de mejora continua.
o
Notificación a AESA de finalización y validación del Plan de implantación previsto.
Asimismo, deben haberse iniciado tareas correspondientes a la fase IV y, en cualquier caso, tener
fijadas fechas concretas en el calendario de planificación de manera que se dé respuesta satisfactoria
a los aspectos definidos en esta fase, para su validación por AESA.
Desde el punto de vista del tipo y características de plan de implantación a diseñar por un gestor
aeroportuario, se recomienda que se definan tareas concretas de implantación de cada uno de los
procedimientos que formen parte del Sistema de Gestión de Riesgos de Seguridad de la organización,
y en coherencia con las fases aquí descritas.
Se proponen los siguientes puntos que podrían formar parte de los compromisos adquiridos por el
gestor aeroportuario en su política de seguridad operacional:
• Elaborar e incorporar una cultura de seguridad operacional en todas las actividades del gestor
aeroportuario, que reconoce la importancia y el valor de una gestión eficaz de la seguridad
operacional de la aviación y en la que, en todo momento, la seguridad operacional es lo más
importante.
Página 10
• Apoyar la gestión de la seguridad operacional mediante el suministro de todos los recursos
apropiados, que resultará en una cultura de la organización que fomente las prácticas seguras,
aliente a la efectiva notificación y comunicación de seguridad operacional y gestione activamente
la seguridad con la misma atención a los resultados que la atención a los resultados de los otros
sistemas de gestión de la organización.
• Asegurar que no se adoptará ninguna medida contra ningún empleado que revele un
problema de seguridad operacional mediante el sistema de notificación de peligros, a menos
que dicha revelación indique, más allá de toda duda razonable, que se ha cometido un acto ilícito,
una negligencia grave, o un incumplimiento deliberado o voluntario de reglamentos o
procedimientos.
• Asegurar que los sistemas y servicios obtenidos por contratación externa y que repercuten en
la seguridad de nuestras operaciones cumplen las normas de seguridad operacional pertinentes.
• Elaborar activamente y mejorar nuestros procesos de seguridad operacional para que sean
conformes a las normas nacionales e internacionales.
• Cumplir y, cuando sea posible, sobrepasar los requisitos y las normas de la ley y los
reglamentos.
• Asegurar que todos los miembros del personal poseen información e instrucción sobre
seguridad operacional adecuadas y apropiadas, que son competentes en cuestiones de
seguridad operacional y que solamente se les asignan tareas acordes con sus competencias.
• Alcanzar los niveles más altos de las normas y la eficacia de la seguridad operacional en todas
nuestras actividades de aviación.
Página 11
• Realizar exámenes de gestión y de seguridad operacional y asegurar que se adoptan las
medidas pertinentes.
Manual de gestión
El Manual del SGRS debe servir como herramienta para desarrollar técnicamente el Sistema de
Gestión de la Seguridad Operacional de cada aeropuerto, y sus objetivos principales son:
• Permitir la implantación y el mantenimiento del SGRS de cada aeropuerto.
• Establecer la estructura orgánica, o cadena de mando, dentro del aeropuerto en cuestiones de
seguridad operacional.
• Asignar responsabilidades.
• Aplicar un sistema de gestión de riesgos.
• Recoger todos los procesos que forman parte de la gestión de seguridad operacional de cada
aeropuerto.
Se pretende que este documento sea la recopilación de toda la información relativa al sistema, con lo
que formalmente se deberá estructurar con los siguientes apartados:
• Introducción.
• Descripción del SGRS.
• Responsable del SGRS.
• Organización y responsabilidades.
• Comités de aeropuerto relacionados con la Seguridad Operacional.
• Coordinación del plan de respuesta ante emergencias
• Procedimientos del SGRS.
Funciones
Procedimientos
Los procedimientos del SGRS desarrollan de forma detallada cada uno de los procesos incluidos
en el Manual del SGRS y que deben ponerse en práctica para conseguir una buena gestión de la
seguridad operacional.
Se detallan los requisitos específicos para cada uno de estos procedimientos, que deben ser, al
menos:
•
Sistema de gestión de riesgos.
•
Requisitos y supervisión de aspectos de seguridad operacional de proveedores externos.
•
Indicadores de seguridad operacional.
•
Notificación de sucesos, incidentes y accidentes y tratamiento de la información.
•
Gestión de la documentación.
•
Auditorías de seguridad operacional.
•
Formación en materia de seguridad operacional.
•
Comunicaciones en materia de seguridad operacional.
•
Programa de seguridad operacional.
Para definir cómo se va a llevar a cabo la activación del sistema de gestión de riesgos y el análisis
de los mismos deberán desarrollarse, al menos, los siguientes contenidos:
o Determinación de la probabilidad.
o Determinación de la severidad.
o Determinación de la tolerabilidad.
Mitigación de riesgos
o Documentación de referencia.
o Definición de cambio.
o Tipología de cambios.
Análisis de riesgos
Determinación de la probabilidad
La probabilidad de que un riesgo pueda contribuir a la ocurrencia de un accidente/incidente se
puede determinar tanto en términos cualitativos como cuantitativos.
Para analizar algunos de los riesgos se podrán utilizar análisis numéricos (método cuantitativo) en
los que se hace un ajuste estadístico de los datos históricos referidos a accidentes e incidentes
relacionados con el escenario de análisis, o bien se utilizan modelos matemáticos fundados en las
características y naturaleza de la operación que se analiza.
Página 14
Sin embargo, pudiera ocurrir que los datos de accidentes/ incidentes fueran escasos y no bastaran
para elaborar un análisis cuantitativo preciso de todos los riesgos que pueden existir en el
aeropuerto, por lo que, adicionalmente se deberá aplicar la experiencia previa para realizar un
juicio sobre la probabilidad de que un riesgo pueda contribuir a la ocurrencia de un accidente/
incidente (método cualitativo). Deben por tanto describirse en el procedimiento estas dos
metodologías para calcular/estimar la probabilidad de ocurrencia de los
riesgos, así como la aplicación que de ellas hace el aeropuerto para realizar dicho cálculo.
En cualquier caso, deben priorizarse los razonamientos cuantitativos sobre los cualitativos siempre
que sea posible.
Para facilitar la fase de evaluación de riesgos, puede ser necesario utilizar el concepto de riesgo
potencial y riesgo final, por tanto, debe describirse en el sistema de gestión de riesgos la
metodología a aplicar para calcular la probabilidad de los riesgos finales a partir de los potenciales.
Página 15
Determinación de la severidad
Para cada uno de los efectos de los riesgos identificados se debe realizar una evaluación de su
severidad. Es necesario definir una matriz para facilitar la asignación de severidad de los riesgos
identificados. Una clasificación aceptable para AESA, de tipos de severidad que deben definirse
sería la siguiente:
Página 16
La matriz debe incluir tres categorías de tolerabilidad para los riesgos:
Aceptable: el nivel de riesgo asociado al peligro puede ser aceptado por el aeropuerto sin
recurrir a ninguna acción para reducirlo o eliminarlo. Los riesgos que se clasifican así
introducen un nivel de riesgo bajo en la operación y se considera que están adecuadamente
controlados con las medidas que ya se toman en el aeropuerto. No obstante, siempre se
recomienda tomar medidas para reducir el riesgo a un nivel tan bajo como prácticamente sea
posible (As Low As Reasonably Practical, ALARP).
Inaceptable: el riesgo es demasiado elevado como para que el aeropuerto lo pueda aceptar. Un
riesgo clasificado en esta categoría debe ser mitigado hasta un nivel tan bajo como
prácticamente sea posible. Tras la mitigación el riesgo debe caer en la categoría de Aceptable
o Tolerable, pero nunca quedarse como Inaceptable.
Página 17
Comparación general con COSO
COSO e ISO 31000 son dos herramientas de plena utilidad y capacidad, ampliamente contrastada, a
nivel internacional sobre metodologías de gestión de riesgos. Pero además entran en juego otras
también de especial relevancia, tal y como se pueden ver añadidas COSO ERM:
COSO ERM 2017 e ISO 31000:2018 comparten visiones similares en cuanto a metodología y
desarrollo, si bien tienen algunas diferencias, que no por ellas, no les permitan una cierta
complementariedad, por tanto, unas posibilidades muy interesantes de aunar ambas
herramientas.
COSO por su parte ha evolucionado de forma lógica adaptándose a los nuevos tiempos y
requerimientos de las organizaciones.
Página 18
En origen, COSO o COSO I evolucionó de 5 a 8 componentes:
7. Información y Comunicación (4 de
COSO)
8. Supervisión (5 de COSO).
Por otro lado, se identifican del cubo, aquellas actividades primarias de Gestión de Riesgos sobre
aquellas basadas en Dirección y Soporte técnico.
Fuente: UCN
Página 19
En la siguiente ilustración se pueden apreciar las ventajas de la evolución de
COSO:
Página 20
A continuación, lo vemos a través de las diferentes componentes en el tiempo:
Página 21
Por último, COSO III.
Situaciones reales
Las normas son insuficientes si no existe una cultura extendida sobre las graves consecuencias por
errores, negligencias o ineficiencias en los procesos y procedimiento.
http://www.elconfidencial.com/espana/2015-03-26/accidente-de-avion-si-el-suicidio-no-es-
una-negligencia-se-dara-la-indemnizacion-minima_740675/
“Lufthansa informó hoy de que pagará 50.000€ por cada pasajero a los familiares de las víctimas del
vuelo 4U 9525 de su filial Germanwings, independientemente de las indemnizaciones que reciban por
parte de la aseguradora Allianz, responsable de la cobertura de la compañía aérea.
Fuentes de la Unión Europea han recordado que la investigación en curso para determinar las causas
del accidente de Germanwings, por un lado, y la determinación de la compensación a las familias de
las víctimas y sus posibles procesos judiciales, por otro, son "dos procedimientos diferentes". Las
fuentes apuntaron que este último se basa en la "evaluación legal de los hechos" y que pretende
"establecer y reparar los daños sufridos".
Página 22
"Las personas afectadas por el reciente accidente pueden así invocar las mencionadas legislaciones
internacional y europea, cuyas condiciones y límites no dependen necesariamente de la causa del
accidente como tal, sino más bien del hecho de que dicho accidente causó daños", precisaron a Efe
las fuentes comunitarias.
Las últimas revelaciones sobre las causas del accidente de avión en el que viajaban 150 personas
alterarán sustancialmente el importe económico de las indemnizaciones a las que deberán hacer
frente la aseguradora del avión, Allianz Global Corporate, y la compañía aérea Germanwings.
En un inicio ascenderían a 316.882 euros, en base al reglamento vigente europeo y a las características
de la nave, sin embargo, esta cantidad se limita a la obligación básica por un principio objetivo sin
negligencia. De acreditarse el supuesto de negligencia, la aseguradora cubrirá este máximo incluido
en la póliza y la compañía aérea deberá hacerse cargo del resto.
Allianz Global Corporate ha rehusado comentar los detalles del trágico accidente, así como el tipo de
póliza que cubría el vuelo estrellado en los Alpes de manera deliberada por el copiloto, según la
Fiscalía de Düsseldorf. Para el abogado José María Fuster-Fabra, si se demuestra la hipótesis del
suicidio del copiloto, "habría variaciones al alza en la indemnización, puesto que podría demostrarse
que la compañía no detectó que esa persona no estaba capacitada para llevar un avión o, por ejemplo,
que estuviese pasando por una fase depresiva”.
Como se puede observar de la propia noticia, los riesgos siguen estando ahí.
A continuación, se aporta otra noticia en el mismo sentido sobre los accidentes del Boeing 737 MAX
8 de plena actualidad acaecidos durante 2018 y 2019.
https://www.bbc.com/mundo/noticias-internacional-47813550
Página 23
Conclusiones
•
Se hace imprescindible que las organizaciones cuenten con un modelo de SGR, ya sea COSO, ISO
31000, una combinación de ambos o cualquier otro que aporte valor y un sistema adecuado de
medir, controlar y gestionar los riesgos.
•
La Alta Dirección o Gerencia es parte fundamental en la creación, mantenimiento e impulso del
adecuado modelo de gestión de riesgos.
•
La estrategia de riesgo se consolida como pilar imprescindible en las organizaciones junto a la
ayuda inestimable de las normas internacional a su disposición.
•
La reputación de las organizaciones comienza a descansar sobre una toma de decisiones acorde
con principios y auspicios que las normas como COSO ERM y/o ISO aportan, sobre todo con su
evolución y adaptación, mediante actualizaciones, a los nuevos tiempos.
•
Las oportunidades que aporta a una organización bien gestionada en riesgos son mucho mayores
que los de otras empresas que no lo tienen implantado o peor aún, todavía no lo tienen previsto
como modelo estratégico de funcionamiento en base a sus objetivos de negocio.
• https://coladca.wordpress.com/2018/10/30/procesos-acorde-con-iso-31000-una-manera-
efectiva-en-mejoramiento-de-la-administracion-y-gestion-de-los-riesgos-en-asojuegos-
colombia/
• http://rincondelsueko.blogspot.com/2018/08/que-es-coso.html
• https://www.compromisoempresarial.com/rsc/2018/06/nuevo-marco-para-la-gestion-de-
los-riesgos-de-rsc/
• http://www.grupoalbe.com/iso-9001-riesgos-empresariales-basado-en-la-norm-iso-
310002018/
• http://www.acueductopopayan.com.co/wp-content/uploads/2019/03/GUIA-GESTION-
DEL-RIESGO.pdf
• https://www.gb-advisors.com/es/normas-y-estandares-internacionales/
• https://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_
Metodolog/pae_Magerit.html#.XKsfaJgzbIU
Página 24