Todas las normas ISO de sistemas de gestión exigen un enfoque basado en riesgos. ISO 31000 proporciona el marco general para gestionar cualquier tipo de riesgo en cualquier organización, independientemente de su tamaño o sector. No es una norma certificable, pero es la referencia que alimenta la gestión de riesgos de ISO 9001, 14001, 45001 y 27001. Entenderla y aplicarla te permite cumplir los requisitos de todas estas normas con un solo proceso coherente. En esta guía te llevo paso a paso con un caso real y herramientas concretas.
[[CTA-INTERNAL:/cumplimiento/ciberseguridad/analisis-riesgos-magerit/]] Para la gestión de riesgos específica de seguridad de la información, consulta mi guía de análisis de riesgos con MAGERIT.
El marco de ISO 31000:2018
ISO 31000 define la gestión de riesgos como "el efecto de la incertidumbre sobre los objetivos". Un riesgo no es solo una amenaza: también puede ser una oportunidad. El marco se estructura en tres componentes:
- Principios: por qué gestionar riesgos.
- Marco de referencia: cómo integrar la gestión de riesgos en la organización.
- Proceso: qué pasos seguir.
El proceso de gestión de riesgos paso a paso
1. Establecer el contexto
Define el alcance y los criterios de riesgo antes de empezar. Los criterios incluyen qué niveles de riesgo son aceptables para tu organización (apetito al riesgo), qué escala de valoración vas a utilizar (cualitativa o cuantitativa) y qué factores de riesgo vas a considerar (financieros, operativos, legales, reputacionales, tecnológicos, de seguridad).
2. Identificación de riesgos
Identifica todos los riesgos que pueden afectar al logro de los objetivos de tu organización. Las técnicas más prácticas para PYMEs son:
- Brainstorming estructurado con el equipo directivo.
- Análisis PESTEL para riesgos externos.
- Revisión de incidentes y problemas pasados.
- Entrevistas con responsables de proceso.
- Análisis de la cadena de valor: dónde puede fallar cada eslabón.
Organiza los riesgos por categorías: estratégicos, operativos, financieros, legales y regulatorios, tecnológicos, de personas, ambientales y reputacionales.
3. Análisis de riesgos
Para cada riesgo identificado, evalúa su probabilidad de materialización (baja, media, alta) y su impacto si se materializa (leve, moderado, grave, catastrófico). El producto de ambos da el nivel de riesgo.
La matriz de riesgos (probabilidad en un eje, impacto en el otro) es la herramienta de visualización más práctica. Los riesgos en la zona roja (alta probabilidad, alto impacto) requieren acción inmediata. Los de la zona amarilla requieren vigilancia y planes de contingencia. Los de la zona verde se aceptan y monitorizan.
Ejemplo de matriz 5×5 para PYME
| Impacto / Probabilidad | Muy baja (1) | Baja (2) | Media (3) | Alta (4) | Muy alta (5) |
|---|---|---|---|---|---|
| Catastrófico (5) | 5 (amarillo) | 10 (rojo) | 15 (rojo) | 20 (rojo) | 25 (rojo) |
| Grave (4) | 4 (verde) | 8 (amarillo) | 12 (rojo) | 16 (rojo) | 20 (rojo) |
| Moderado (3) | 3 (verde) | 6 (amarillo) | 9 (amarillo) | 12 (rojo) | 15 (rojo) |
| Leve (2) | 2 (verde) | 4 (verde) | 6 (amarillo) | 8 (amarillo) | 10 (rojo) |
| Insignificante (1) | 1 (verde) | 2 (verde) | 3 (verde) | 4 (verde) | 5 (amarillo) |
4. Tratamiento de riesgos
Para cada riesgo que requiere acción, selecciona una de las cuatro opciones de tratamiento:
- Evitar el riesgo: eliminar la actividad que lo genera.
- Mitigar: reducir la probabilidad o el impacto con controles y medidas.
- Transferir: pasar el riesgo a un tercero (seguros, subcontratación, cláusulas contractuales).
- Aceptar: asumir el riesgo conscientemente cuando el coste de tratarlo supera el beneficio.
5. Registro y seguimiento
Mantén un registro de riesgos actualizado con cada riesgo identificado, su valoración, el tratamiento seleccionado, el responsable, el estado de las acciones y la fecha de última revisión. Revisa el registro al menos semestralmente y siempre que se produzcan cambios significativos en el contexto.
Caso real: una PYME industrial de 45 empleados
Un fabricante de componentes para automoción (45 empleados, dos plantas en Castilla y León) implantó su primer registro estructurado de riesgos siguiendo ISO 31000 en preparación de la integración con ISO 9001 e ISO 14001.
Resultados de la primera iteración:
- 47 riesgos identificados, agrupados en 8 categorías.
- 6 riesgos en zona roja (3 financieros vinculados a un cliente con 35% del volumen, 2 operativos por dependencia de un único proveedor de materia prima crítica, 1 ciberseguridad por servidor sin réplica).
- 19 riesgos en zona amarilla, 22 en zona verde.
Acciones tomadas en los primeros 12 meses:
- Diversificación de clientes (objetivo: ningún cliente > 25% del volumen, alcanzado al 18 mes [[DATO-VERIFICAR]]).
- Homologación de un segundo proveedor para materia prima crítica.
- Implantación de réplica en cloud del servidor productivo.
- Contratación de seguro de ciberriesgo y seguro de impago.
Inversión total tratamiento: 28.000 € primer año. Riesgo financiero residual estimado: 60% inferior al inicial. El registro se integró posteriormente con el análisis de riesgos de calidad y medio ambiente al certificarse en ISO 9001 + 14001.
Integración con las normas ISO
La gestión de riesgos según ISO 31000 satisface directamente los requisitos de la cláusula 6.1 de ISO 9001, 14001 y 45001 (acciones para abordar riesgos y oportunidades) y es la base del análisis de riesgos exigido por ISO 27001 y el ENS.
Un solo proceso de gestión de riesgos con diferentes perspectivas (calidad, medio ambiente, seguridad laboral, seguridad de la información) es más eficiente y coherente que procesos separados para cada norma.
[[CTA-INTERNAL:/cumplimiento/iso/sistema-gestion-integrado-iso/]] Consulta mi artículo sobre sistema de gestión integrado para entender cómo unificar la gestión de riesgos de múltiples normas.
Mini-glosario
- Riesgo: efecto de la incertidumbre sobre los objetivos (ISO 31000).
- Apetito al riesgo: nivel de riesgo que la organización está dispuesta a asumir.
- Tolerancia al riesgo: variación aceptable respecto al apetito al riesgo.
- Riesgo residual: riesgo que queda después de aplicar los tratamientos.
- Owner del riesgo: persona con responsabilidad y autoridad para gestionar un riesgo.
- KRI (Key Risk Indicator): indicador clave que monitoriza la evolución de un riesgo.
- Riesgo inherente: riesgo sin tener en cuenta los controles existentes.
Preguntas frecuentes
¿Cuántos riesgos debe identificar una PYME?
No hay un número correcto. Lo razonable para una primera iteración es entre 30 y 80 riesgos identificados, organizados por categorías. Lo importante no es el número, sino que la lista sea exhaustiva en las categorías clave (no puedes haber identificado 60 riesgos operativos y ninguno financiero o legal).
¿Análisis cualitativo o cuantitativo?
Para PYMEs sin equipo de risk management, el análisis cualitativo (matriz 5×5 con etiquetas) es perfectamente válido y mucho más rápido. El análisis cuantitativo (probabilidades porcentuales, impacto monetario, esperanza matemática de pérdida) tiene sentido para riesgos financieros muy específicos o cuando el regulador lo exige (banca, seguros, sectores regulados).
¿Quién debe ser dueño de cada riesgo?
El responsable funcional del proceso donde el riesgo se materializa. Riesgo de impago de un cliente: dirección financiera. Riesgo de fuga de información: dirección de IT/seguridad. Riesgo de accidente laboral: dirección de operaciones. La regla: el dueño tiene autoridad real para implementar el tratamiento.
¿Cada cuánto revisar el registro?
Mínimo semestralmente para la revisión global, y de inmediato cuando se produce un cambio relevante (nuevo cliente que pasa a ser dominante, cambio regulatorio, incidente que materializa un riesgo, lanzamiento de un nuevo producto/servicio). Anualmente conviene una revisión exhaustiva con la alta dirección para realinear con el plan estratégico.
¿ISO 31000 es certificable?
No. ISO 31000 es una norma de directrices, no certificable. Lo que sí se certifica es ISO 9001, 14001, 45001, 27001 o ENS, todas las cuales incluyen requisitos de gestión de riesgos que se cumplen aplicando ISO 31000. La certificación se obtiene en la norma "madre", no en ISO 31000.
¿Cómo gestiono las oportunidades, no solo las amenazas?
Aplica el mismo proceso a las oportunidades: identifica posibles eventos positivos (entrada en mercado nuevo, adopción de tecnología, alianza, regulación favorable), valora probabilidad e impacto, y decide tratamiento (potenciar, explorar, vigilar). Una empresa que solo gestiona amenazas se queda corta: las oportunidades no gestionadas son tan caras como las amenazas no controladas.
Checklist: 10 pasos para implantar gestión de riesgos ISO 31000
- Define el alcance: ¿toda la empresa o un área concreta para empezar?
- Acuerda criterios de probabilidad e impacto con la dirección.
- Diseña la matriz de riesgos (cualitativa 5×5 para empezar).
- Convoca taller de 4 horas con el comité de dirección para identificar riesgos.
- Complementa con entrevistas con mandos intermedios clave.
- Valora cada riesgo en probabilidad e impacto.
- Asigna dueño a cada riesgo en zona amarilla y roja.
- Define tratamiento para cada riesgo (evitar, mitigar, transferir, aceptar).
- Plasma todo en un registro único (Excel sencillo o módulo de tu ERP).
- Programa la revisión semestral en la agenda del comité.
[[CTA-CONTACT]] ¿Necesitas implantar un proceso de gestión de riesgos que cumpla con todas tus normas ISO? Hablamos y diseñamos un análisis de riesgos integral adaptado a tu organización.
Autoría: Ángel Ortega Castro · consultor independiente en estrategia, calidad y digitalización para PYMEs. Relacionado: No Conformidades y Acciones Correctivas ISO.
¿Necesitas ayuda con esto?
Trabaja conmigo en Implantación y certificación ISO
Consultoría a medida en implantación y certificación ISO. Primera sesión sin coste.
Agendar sesión →