ISO 31000:2018 se estructura en tres componentes fundamentales: principios, marco y proceso. Los principios son la base de todo. Definen cómo debe ser una gestión de riesgos efectiva, independientemente del sector, tamaño o tipo de organización. En este artículo desglosamos cada principio y cada etapa del proceso con aplicaciones prácticas.
Puntos clave
- Los 8 principios de ISO 31000 son la base filosófica de toda gestión de riesgos efectiva.
- El proceso de gestión de riesgos tiene 6 etapas cíclicas, no lineales.
- El marco organizacional (framework) habilita la ejecución del proceso.
- ISO 31000 se complementa con ISO 31010 para las técnicas de evaluación.
¿Quieres evaluar tu marco de gestión de riesgos? Solicita un diagnóstico profesional o realiza el autodiagnóstico en línea.
La estructura de ISO 31000: principios, marco y proceso
Para entender ISO 31000 correctamente, es fundamental distinguir sus tres componentes:
| Componente | Qué define | Analogía |
|---|---|---|
| Principios | El "por qué" y el "cómo debería ser" | Los valores de una persona |
| Marco (Framework) | La estructura organizacional para gestionar riesgos | El esqueleto del cuerpo |
| Proceso | Los pasos operativos para gestionar cada riesgo | Las actividades que realiza el cuerpo |
Los principios guían al marco, y el marco habilita el proceso. Sin principios claros, el marco es burocrático. Sin marco, el proceso es improvisado. Los tres funcionan como un sistema integrado.
Principio 1: Integrada
La gestión de riesgos no es una actividad aislada ni un departamento separado. Debe estar integrada en la gobernanza, la estrategia, la planificación y las operaciones diarias de la organización.
Qué significa en la práctica
Que cada vez que tomas una decisión —lanzar un producto, cambiar de proveedor, entrar a un nuevo mercado— consideras los riesgos como parte natural del análisis, no como un trámite adicional.
Aplicación por industria
- Manufactura: integrar evaluación de riesgos en el diseño de nuevos procesos productivos, no solo al final.
- Servicios financieros: incorporar análisis de riesgos en la aprobación de créditos, no como revisión posterior.
- Tecnología: incluir evaluación de riesgos en sprints de desarrollo, no solo en auditorías anuales.
Principio 2: Estructurada y exhaustiva
Un enfoque estructurado y exhaustivo contribuye a resultados consistentes y comparables. Esto significa tener metodologías definidas, criterios claros y procesos documentados y repetibles.
Qué significa en la práctica
Que usas el mismo método cada vez que evalúas riesgos, permitiendo comparar resultados entre periodos, áreas y proyectos. No es cuestión de intuición sino de método.
Aplicación por industria
- Construcción: listas de verificación estandarizadas de riesgos por fase de obra.
- Farmacéutica: metodologías de evaluación de riesgos validadas y documentadas para cada proceso.
- Logística: matrices de riesgo consistentes para evaluar rutas, proveedores y almacenes.
Principio 3: Personalizada
El marco y el proceso de gestión de riesgos se adaptan y son proporcionales al contexto externo e interno de la organización, en relación con sus objetivos.
Qué significa en la práctica
Que no copias la matriz de riesgos de otra empresa. Tus riesgos son únicos porque tu contexto es único: tu industria, tu ubicación, tu cultura, tus objetivos.
Aplicación por industria
- Agroindustria: riesgos climáticos y de cadena de frío que no existen en otros sectores.
- Minería: riesgos ambientales y de seguridad altamente específicos de cada sitio.
- E-commerce: riesgos de ciberseguridad y fraude que requieren controles tecnológicos específicos.
Principio 4: Inclusiva
La participación apropiada y oportuna de las partes interesadas permite que se consideren sus conocimientos, opiniones y percepciones. Esto resulta en una mejor identificación de riesgos y mayor compromiso con el tratamiento.
Qué significa en la práctica
Que no solo los gerentes identifican riesgos. Los operadores, clientes, proveedores y reguladores aportan perspectivas que el liderazgo no tiene. Los riesgos más peligrosos suelen ser los que la dirección no ve.
Aplicación por industria
- Salud: enfermeras y técnicos identifican riesgos operativos que los médicos y administradores no ven.
- Energía: trabajadores de campo perciben riesgos de seguridad que no aparecen en reportes de oficina.
- Retail: el personal de tienda identifica riesgos de robo y seguridad que la oficina central desconoce.
Principio 5: Dinámica
Los riesgos pueden surgir, cambiar o desaparecer conforme cambia el contexto externo e interno de la organización. La gestión de riesgos anticipa, detecta, reconoce y responde a esos cambios y eventos de manera apropiada y oportuna.
Qué significa en la práctica
Que tu registro de riesgos es un documento vivo, no un archivo PDF estático. Los riesgos de enero pueden ser irrelevantes en julio, y nuevos riesgos pueden surgir en cualquier momento.
Aplicación por industria
- Turismo: riesgos que cambian con temporadas, eventos geopolíticos y tendencias de viaje.
- Tecnología: nuevas vulnerabilidades de seguridad que emergen semanalmente.
- Comercio exterior: riesgos arancelarios y regulatorios que cambian con cada administración gubernamental.
¿Quieres certificarte como profesional en gestión de riesgos? Conoce nuestra certificación individual PECB en ISO 31000 y domina estos principios a profundidad.
Principio 6: Basada en la mejor información disponible
Las entradas al proceso de gestión de riesgos se basan en información histórica y actual, así como en expectativas futuras. La información debe ser oportuna, clara y disponible para las partes interesadas relevantes.
Qué significa en la práctica
Que tomas decisiones con lo que tienes, no con lo que quisieras tener. La incertidumbre no es excusa para no actuar. Documenta las limitaciones de tu información y ajusta tus decisiones en consecuencia.
Principio 7: Factores humanos y culturales
El comportamiento y la cultura humanos influyen significativamente en todos los aspectos de la gestión de riesgos en cada nivel y etapa.
Qué significa en la práctica
Una cultura que castiga errores inhibe el reporte de riesgos. Una cultura de transparencia los identifica temprano. La gestión de riesgos efectiva requiere seguridad psicológica para que las personas reporten problemas sin miedo a represalias.
Principio 8: Mejora continua
La gestión de riesgos se mejora continuamente mediante aprendizaje y experiencia. Cada incidente, auditoría y cambio de contexto es una oportunidad para fortalecer el sistema.
Qué significa en la práctica
Después de cada incidente (o casi-incidente), realizas un análisis de causa raíz y actualizas tus controles. Revisas periódicamente si tu metodología sigue siendo adecuada. Mides la efectividad de tus tratamientos de riesgo.
El proceso de gestión de riesgos: 6 etapas en detalle
El proceso de ISO 31000 es cíclico e iterativo. No se ejecuta una sola vez sino de forma continua. Estas son las 6 etapas:
| Etapa | Objetivo | Entregable típico |
|---|---|---|
| 1. Comunicación y consulta | Asegurar que las partes interesadas están informadas e involucradas | Plan de comunicación de riesgos |
| 2. Alcance, contexto y criterios | Definir el alcance y los parámetros de evaluación | Criterios de riesgo, contexto documentado |
| 3. Identificación de riesgos | Encontrar y describir los riesgos | Registro de riesgos |
| 4. Análisis de riesgos | Comprender la naturaleza, probabilidad e impacto | Evaluación de probabilidad e impacto |
| 5. Evaluación de riesgos | Priorizar riesgos para decisión de tratamiento | Matriz de riesgos priorizada |
| 6. Tratamiento de riesgos | Seleccionar e implementar opciones de tratamiento | Plan de tratamiento de riesgos |
Además, dos actividades son transversales a todo el proceso:
- Monitoreo y revisión: verificar continuamente que los controles funcionan y los riesgos no han cambiado.
- Registro e informe: documentar decisiones, resultados y lecciones aprendidas para rendición de cuentas y mejora.
El marco organizacional: los 6 componentes
El marco (framework) es la estructura que la organización establece para integrar, diseñar, implementar, evaluar y mejorar la gestión de riesgos. Sus 6 componentes son:
- Liderazgo y compromiso: la alta dirección demuestra su compromiso integrando la gestión de riesgos en la gobernanza y asignando recursos.
- Integración: la gestión de riesgos se integra en la estructura, procesos y actividades de la organización.
- Diseño: se diseñan las políticas, los roles, las responsabilidades y los criterios de riesgo.
- Implementación: se ejecuta el marco a través del proceso de gestión de riesgos, capacitación y comunicación.
- Evaluación: se mide periódicamente la eficacia del marco y su contribución al logro de objetivos.
- Mejora: se adapta y mejora el marco con base en la experiencia, los cambios de contexto y las lecciones aprendidas.
ISO 31010: el complemento técnico
ISO 31010 (Técnicas de evaluación de riesgos) es la norma complementaria que describe más de 30 técnicas para las etapas de identificación, análisis y evaluación de riesgos. Algunas de las más utilizadas:
- Análisis FMEA: Failure Mode and Effects Analysis, ideal para manufactura y diseño de productos.
- Análisis bow-tie: visualización de causas, controles preventivos, evento de riesgo, controles de mitigación y consecuencias.
- Método Delphi: consulta estructurada con expertos para riesgos con alta incertidumbre.
- Análisis de escenarios: exploración de futuros posibles para riesgos estratégicos.
- Matrices de probabilidad e impacto: la técnica más común y accesible para priorizar riesgos.
ISO 31010 no prescribe cuál técnica usar. La elección depende del tipo de riesgo, la información disponible y los recursos de la organización.
Preguntas frecuentes
¿Cuáles son los 8 principios de ISO 31000?
Los 8 principios son: integrada, estructurada y exhaustiva, personalizada, inclusiva, dinámica, basada en la mejor información disponible, factores humanos y culturales, y mejora continua. Estos principios guían cómo debe diseñarse e implementarse la gestión de riesgos.
¿Cuántas etapas tiene el proceso de gestión de riesgos ISO 31000?
El proceso tiene 6 etapas: comunicación y consulta, alcance contexto y criterios, identificación de riesgos, análisis de riesgos, evaluación de riesgos, y tratamiento de riesgos. Adicionalmente, el monitoreo/revisión y el registro/informe son actividades transversales.
¿ISO 31000 es obligatoria en México?
No es obligatoria por ley, pero muchas regulaciones sectoriales en México exigen gestión de riesgos. ISO 31000 proporciona el marco más reconocido internacionalmente para cumplir estos requisitos de forma estructurada.
¿Qué diferencia hay entre el marco y el proceso de ISO 31000?
El marco (framework) establece los componentes organizacionales necesarios: liderazgo, integración, diseño, implementación, evaluación y mejora. El proceso es la metodología operativa de 6 etapas para gestionar riesgos específicos. El marco habilita el proceso.
¿Puedo aplicar ISO 31000 si ya tengo ISO 9001?
Sí, y es muy recomendable. ISO 9001 exige un enfoque basado en riesgos pero no prescribe cómo hacerlo. ISO 31000 proporciona la metodología. Adoptar ISO 31000 fortalece el cumplimiento de la cláusula 6.1 de ISO 9001 y unifica tu enfoque de riesgos.
¿Cómo se relaciona ISO 31000 con ISO 31010?
ISO 31010 es la norma complementaria que describe las técnicas de evaluación de riesgos (más de 30 técnicas como FMEA, análisis bow-tie, Delphi, etc.). Mientras ISO 31000 define qué hacer, ISO 31010 ayuda a elegir cómo hacerlo.
Da el siguiente paso
Identifica brechas y oportunidades de mejora con un diagnóstico profesional de nuestro equipo de auditores.