+34 691 225 633

Rev. Febrero 2021

Autor:
Antonio P. Camacho Ruiz

Estándares en la gestión de riesgos: ISO 31000

Introducción

La ISO 31000 es una familia de normas creadas por la Organización

Internacional de Normalización cuya finalidad es proporcionar a todo tipo de
entidades y profesionales una guía universal para la gestión de riesgos. Hasta
2020, el comité ISO/TC 262 es el responsable de la creación de esta familia de
normas. A día de hoy, el comité 1 ha publicado cinco de ellas:

● ISO 31000:2018 - Gestión de riesgos - Directrices2.

● ISO/TR 31004:2013 - Gestión de riesgos - Guía para la implementación
de ISO 31000.
● IEC 31010:2019 - Gestión de riesgos - Técnicas de evaluación de riesgos.
● ISO 31022:2020 - Gestión de riesgos - Directrices para la gestión del
riesgo legal.
● IWA 31:2020 - Gestión de riesgos - Directrices para la utilización de la
norma ISO 31000 en los sistemas de gestión.

Vamos a centrarnos en la primera de ellas, la “ISO 31000:2018. Gestión del

Riesgo. Directrices”, una norma fundamental en la gestión de riesgos. Se trata
de un estándar internacional que establece las indicaciones para que cualquier
tipo de proyecto u organización, independientemente de su tamaño o sector,
pueda gestionar riesgos, tomando decisiones informadas, ayudando a lograr
sus objetivos y mejorando la eficacia de sus sistemas de gestión.

Esta norma considera tanto los elementos internos como externos de la entidad
o iniciativa. Según la ISO 31000, para que la gestión de riesgos sea eficaz:

a) Ha de estar integrada en todas las actividades de la organización.

1
Cuatro normas adicionales se encuentran en fase de desarrollo.
2
La primera versión de la ISO 31000 es de 2009.
 +34 691 225 633
Rev. Febrero 2021

b) Ha de ser estructurada y exhaustiva, de modo que proporcione

resultados coherentes y comparables.

c) Ha de estar adaptada y ser proporcional a los contextos, internos y

externos, que estén relacionados con sus objetivos.

d) Ha de ser inclusiva, asegurando la participación apropiada de las partes

y equipos que la integran, considerando sus puntos de vista, experiencia,
etc.

e) Ha de ser dinámica, ya que los riesgos pueden aparecer o cambiar en

función del contexto donde se desarrolle nuestro proyecto. Una buena
gestión del riesgo se anticipa, detecta y reconoce los cambios y eventos
de una manera eficaz.

f) Ha de proporcionar la mejor información disponible, basándose en los

datos históricos, manteniendo una constante actualización y previendo
posibles desarrollos futuros. La información debe ser clara y estar a
disposición de los implicados.

g) Ha de tener en cuenta los factores humanos y culturales, ya que estos

influyen en todos los aspectos y fases.

h) Ha de realizarse una mejora continua a través del aprendizaje y la

experiencia.

La ISO 31000 se erige hoy en día como el gran estándar de la gestión de riesgos.
En las siguientes líneas conoceremos su estructura general.

 
Contenido
 +34 691 225 633
Rev. Febrero 2021

ISO 31000. Una herramienta estructurada

La ISO 31000 establece dos fases fundamentales: la creación de un marco de

referencia dentro de la organización y el establecimiento de una serie de
procesos. La norma marca varios puntos a seguir dentro de cada fase.
Veámoslos en detalle:

1. Creación del marco de referencia

Su objetivo es ayudar a la organización a integrar la gestión de riesgos en todas

sus actividades y departamentos; pues solo a través de su integración se logrará
una gestión del riesgo real. Por ello, es necesario que todas las partes implicadas
participen de esta primera fase. La entidad debe valorar, desde este marco de
referencia, tanto las prácticas que lleve a cabo, como cualquier posible riesgo u
oportunidad. Los distintos componentes del marco de referencia, que
analizaremos a continuación, deben adaptarse a las necesidades de la
organización.

1.1. Liderazgo y compromiso

Los responsables que ocupen altos cargos, así como los órganos de supervisión
si los hubiera, deben asegurarse de que la gestión de riesgos esté integrada en
todas las actividades:

● Adaptando e implementando los componentes del marco de referencia.

● Estableciendo un enfoque, un plan o una línea de acción.
● Asegurando los recursos necesarios.
● Asignando responsabilidades y la obligación de rendir cuentas en los
niveles apropiados.

Esto ayudará a la organización a:

● Alinear la gestión del riesgo con sus objetivos y estrategias.

● Reconocer y abordar sus obligaciones y compromisos.
● Establecer las dimensiones y los tipos de riesgos.
 +34 691 225 633
Rev. Febrero 2021

● Comunicar estos riesgos y el modo de abordarlos a la organización y sus

trabajadores.
● Monitorizar los riesgos.
● Asegurar que el marco de referencia esté alineado con el contexto de la
entidad.

1.2.  Integración

La integración depende de las estructuras y el contexto de la entidad y

varía en función del fin y la complejidad de la organización. El riesgo debe
gestionarse en cada parte de estas estructuras, y todos los miembros de la
entidad, independientemente de su labor, son responsables. Los máximos
responsables deberán guiar la organización, las prácticas y la aplicación de estos
procesos de forma sostenible y viable a largo plazo.

1.3. Diseño

1.3.1. Comprensión de la organización y de su contexto

El análisis del contexto externo de la organización puede incluir:

● los factores sociales, culturales, políticos, legales, financieros, etc., a nivel

internacional, nacional, regional o local.
● las relaciones, necesidades y expectativas de los potenciales
socios/usuarios.
● las relaciones contractuales y compromisos.

Por su parte, el análisis del contexto interno de la organización puede incluir:

● la estructura, dirección y rendición de cuentas.

● la estrategia, los objetivos y los valores.
● la cultura de la organización.
● las normas y modelos adoptados por la organización.
● los recursos y conocimientos.
● los datos, sistemas y flujos de información.
● las relaciones con todos sus trabajadores.
 +34 691 225 633
Rev. Febrero 2021

1.3.2.   Articulación del compromiso con la gestión del riesgo

Los máximos dirigentes y, cuando proceda, los organismos de supervisión

deberán realizar una publicación o comunicación, tanto a los miembros de la
entidad como a todas las partes interesadas (clientes, usuarios…), donde se
comprometan con la gestión de riesgos. Este compromiso debe incluir:
● el propósito de la gestión de riesgos y los vínculos con los objetivos y
metas.
● su integración en la cultura y en las actividades de la organización.
● la obligación de rendir cuentas.
● la disponibilidad de los recursos necesarios.
● la manera de manejar los objetivos en conflicto.
● la monitorización, revisión y mejora del desempeño de la organización.

1.3.3.  Asignación de roles, autoridades, responsabilidades y

obligación de rendir cuentas en la organización

Los máximos responsables deberán garantizar que todos los miembros de la

entidad conozcan sus responsabilidades y obligaciones en función de su
puesto. 

1.3.4   Asignación de recursos

Los líderes deben asegurar la asignación de recursos, los cuales deben incluir,
como mínimo: personal, métodos y herramientas, documentación de los
procesos, sistemas de gestión de la información, y desarrollo y formación de los
trabajadores.

1.3.5.   Establecimiento de la comunicación y la consulta

Para apoyar el marco de referencia y facilitar su aplicación, la entidad debe

crear un enfoque de comunicación apropiado. La comunicación implica
compartir la información con el público objetivo. Dicho público objetivo puede
además proporcionar datos que ayuden a la toma de decisiones.
 +34 691 225 633
Rev. Febrero 2021

1.4. Implementación

La entidad debe implementar el marco de referencia a través de:

● un plan apropiado que incluya plazos y recursos.
● la identificación de dónde, cuándo, cómo y quiénes han de tomar
diferentes tipos de decisiones.
● la modificación de los procesos de toma de decisiones, en caso de que sea
necesario.
● la confirmación de que la gestión de riesgos es comprendida y puesta en
práctica por los trabajadores.

Esto permite abordar la incertidumbre en la toma de decisiones, además de

posibilitar que otras incertidumbres, nuevas o consecuencias de una anterior, se
puedan tener en cuenta.

1.5.   Valoración
Para valorar la eficacia del marco de referencia, la organización debe:

a) Medir su ejecución con periodicidad en base a sus fines, planes de

implementación, indicadores y comportamiento esperado.
b) Determinar si sigue siendo apto para conseguir sus objetivos.

1.6. Mejora
Se refiere a la adaptación y mejora continua. La adaptación requiere que la
organización realice un seguimiento continuo y se ajuste al marco de referencia
a medida que se produzcan cambios (internos o externos). Asimismo, la
organización debe mejorar continuamente la idoneidad, adecuación y eficacia
del marco de referencia. Así, cuando se identifiquen tanto brechas como
oportunidades para la mejora, se deberían crear y asignar planes y tareas en
cada área.
 +34 691 225 633
Rev. Febrero 2021

2. Proceso

Una vez generado el marco de referencia, se han de establecer los procesos que
llevaremos a cabo.  Debe ser una parte integral de la gestión y la toma de
decisiones y estar presente en todas las áreas y actividades de la entidad.
Aunque aquí presentamos el proceso en distintas fases, estas pueden darse a la
vez o repetirse. Los resultados de cada fase deberán ser registrados,
comunicados y validados por los distintos niveles de la organización.

2.1. Comunicación y consulta

Su propósito es ayudar a entender el riesgo y el motivo de la toma de decisiones
a trabajadores, usuarios, directivos, etc. Esta información debe intercambiarse
entre todas las partes, teniendo siempre en cuenta su confidencialidad,
integridad y el derecho a la privacidad de las personas. La comunicación debe
realizarse a lo largo de toda la vida de nuestra entidad, asegurándonos de que
se consideran todos los puntos de vista del riesgo. Tengamos la suficiente
información para supervisarlo y ayudemos a crear un sentido de inclusión y
propiedad entre los afectados.

2.2. Alcance, contexto y criterios

Su objetivo es permitir una evaluación eficaz y un tratamiento apropiado del
riesgo. Esto implica llevar a cabo las siguientes fases:

2.2.1. Definición del alcance

Dado que la gestión del riesgo puede aplicarse a distintos niveles, es importante
tener claro su alineamiento con los objetivos de la organización. Para la
planificación del enfoque consideraremos, entre otros factores:
● los resultados esperados de cada etapa.
● las herramientas y técnicas de evaluación.
● los recursos requeridos.
● las relaciones con otros proyectos, procesos y actividades.

2.2.2. Contextos externo e interno

 +34 691 225 633
Rev. Febrero 2021

Son el medio donde la organización se desarrolla y logra sus objetivos, por lo

que debemos conocerlos en profundidad, pues es la fuente de la que pueden
surgir tanto oportunidades como riesgos.

2.2.3. Definición de los criterios del riesgo

La organización debe precisar la cantidad y tipo de riesgo que es capaz de
asumir en relación a sus objetivos. Para ello, generará una serie de criterios que
valoren la importancia de los riesgos y su relación con la toma de decisiones.
Estos criterios estarán alineados con el marco de referencia y adaptados a los
propósitos y alcances específicos de cada actividad. Los criterios no son
estáticos y, aunque deben ser considerados al principio de todo el proceso de
evaluación de riesgos, pueden y deben ser revisados continuamente,
modificándose si fuera necesario. Algunos de los factores para establecer estos
criterios son:
● la naturaleza y los tipos de incertidumbres.
● cómo se van a definir y medir las consecuencias, tanto positivas como
negativas, y su probabilidad.
● cómo se va a determinar el nivel de riesgo.
● las combinaciones y las secuencias de múltiples riesgos.

2.3. Evaluación del riesgo

Debe llevarse a cabo de forma sistemática, iterativa y colaborativa,
considerando todos los puntos de vista y empleando la mayor cantidad de
información disponible. Esta evaluación del riesgo pasará por las siguientes
etapas:

2.3.1. Identificación del riesgo

Su objetivo es encontrar, reconocer y describir los riesgos que pueden ayudar o
impedir lograr los objetivos de la entidad. Para ello es vital contar con
información pertinente y actualizada. Podemos emplear varias técnicas para
identificar incertidumbres (pueden o no afectar a uno o varios objetivos). Entre
otros factores debemos considerar:
● las fuentes de riesgo tangibles e intangibles.
● las causas y los eventos.
● las amenazas y las oportunidades.
 +34 691 225 633
Rev. Febrero 2021

● las vulnerabilidades y las capacidades.

● los cambios en el contexto.
● los indicadores de riesgos emergentes.
● las consecuencias y sus impactos en los objetivos.
● la confiabilidad de la información.

2.3.2. Análisis del riesgo

Su fin es comprender la naturaleza del riesgo y sus características incluyendo,
cuando sea necesario, el nivel del riesgo. Implica una consideración detallada
de incertidumbres, fuentes de riesgo, consecuencias, probabilidades, escenarios,
controles (y su eficacia). Un mismo evento puede tener múltiples causas y
consecuencias y puede afectar a múltiples objetivos.
El análisis se puede realizar con diferentes grados de detalle y complejidad,
dependiendo de su fin, la disponibilidad y la confiabilidad de la información y
los recursos disponibles. Como ya vimos anteriormente, las técnicas de análisis
pueden ser cualitativas, cuantitativas o una combinación de ambas,
dependiendo de las circunstancias y del uso que le demos. Este análisis puede
tener condicionantes como la diferencia de opiniones y percepciones del riesgo,
la calidad de la información que usemos, aquellos supuestos que incluimos o
excluimos, o las limitaciones técnicas. Sus resultados nos darán un
conocimiento profundo que nos permitirá tomar decisiones en torno a
diferentes alternativas y enfrentarnos a diversos tipos y niveles de riesgo.

2.3.3. Valoración del riesgo

El propósito es apoyar la toma de decisiones. Supone realizar una comparativa
entre los resultados del análisis del riesgo y los criterios del riesgo establecidos
anteriormente, determinando así cuando se requiere de acciones adicionales.
Esto puede conducir a:
● No hacer nada más.
● Considerar opciones para el tratamiento del riesgo.
● Realizar un análisis adicional para comprender mejor el riesgo.
● Mantener los controles existentes.
● Reconsiderar los objetivos.
 +34 691 225 633
Rev. Febrero 2021

2.4.   Tratamiento del riesgo

Está compuesto de las siguientes fases:
2.4.1. Selección de las opciones para el tratamiento del riesgo
Esta fase implica hacer un balance entre los beneficios potenciales que trae
conseguir los objetivos de la gestión y su costos o desventajas. Algunas de las
opciones de las que disponemos son:
● Evitar el riesgo decidiendo no iniciar o no continuar con la actividad.
● Aceptar o aumentar el riesgo en busca de una oportunidad.
● Eliminar la fuente de riesgo.
● Modificar la probabilidad de que ocurra.
● Modificar las consecuencias.
● Compartir el riesgo (por ejemplo, mediante un contrato de seguros).

La justificación del tratamiento del riesgo va más allá de las consideraciones

económicas; debemos tener en cuenta los compromisos de la entidad o los
puntos de vista de las partes implicadas. La selección de opciones para este
tratamiento debe realizarse en función de los objetivos, los criterios de riesgo y
los recursos de la entidad.
A pesar de realizar un diseño cuidadoso y una implementación eficaz, los
mecanismos anteriores pueden no producir los resultados esperados, pudiendo
generar incluso consecuencias no previstas. Igualmente, es posible que se
produzcan nuevos riesgos, que no existan opciones disponibles para su
tratamiento o que estas no modifiquen suficientemente el riesgo. Por todo ello
es fundamental la labor de monitorización constante.
 Asimismo, todos los implicados deben ser conscientes de la naturaleza y nivel
de los riesgos residuales que puedan producirse después del tratamiento. 

2.4.2. Preparación e implementación de los planes de tratamiento

del riesgo
Su objetivo es especificar la manera y el orden en la que se implementarán las
opciones elegidas para el tratamiento. La información será comunicada a todos
los agentes y cada acción deberá monitorizarse. La información proporcionada
en el plan del tratamiento debe incluir, entre otros factores:
● los motivos de la selección de las opciones.
 +34 691 225 633
Rev. Febrero 2021

● las acciones propuestas.

● los recursos necesarios (incluyendo los imprevistos).
● las restricciones.
● los informes y seguimiento requeridos.
● los plazos previstos para la realización y la finalización de las acciones.

2.5   Seguimiento y revisión

Su objetivo es asegurar y mejorar la calidad y la eficacia del diseño, la
implementación y los resultados del proceso. Esta monitorización debe incluir
también la recopilación y análisis de la información, el registro de resultados y
la retroalimentación. El resultado de esta fase ha de incorporarse a todas las
actividades de la entidad. 

2.6   Registro e informe

Su objetivo es comunicar las actividades y sus resultados, así como dar

información para que los trabajadores y responsables tomen las decisiones
adecuadas, ayudando a la comunicación entre todas las partes. Las decisiones
con respecto a la creación, conservación y tratamiento de la información deben
tener en cuenta la sensibilidad de la información manejada. Para su realización
han considerarse, al menos:

● las necesidades y requisitos específicos de información de todas las

partes.
● el costo, método, frecuencia y tiempos del informe.
● lo adecuado de la información con respecto a los objetivos de la
organización y la toma de decisiones.
 +34 691 225 633
Rev. Febrero 2021

Conclusiones

En la actualidad los riesgos y sus probabilidades cambian con rapidez, por lo

que un sistema de gestión de riesgos debe diseñarse para ayudar a la entidad a
entender “el terreno que pisa”. La norma ISO 31000:2018 ha de ser vista como
un recurso que ayuda a la creación de un marco de referencia y de un proceso
de gestión de riesgo eficaz, que debe ser implementado en todas las actividades
y niveles de la organización y a lo largo de la vida de la misma.

Debemos propiciar en nuestra organización una cultura de la gestión de riesgos,

esto es, que todos los agentes implicados sean conscientes de su naturaleza y de
la necesidad de preverlos. Este proceso pasa por la recogida de información
fidedigna, el conocimiento del contexto en el que se mueve la entidad y factores
como los recursos económicos y humanos disponibles. De este modo, la
comunicación y la participación de todas las partes interesadas resulta clave.

En este enfoque, la ISO 31000:2018 se convierte en la gran herramienta para la

gestión de riesgos normalizada en todo el mundo.
 

ANEXOS

Bibliografía

Organización Internacional de Normalización. (2018). Gestión de riesgos (ISO

31000). Recuperado de https://www.iso.org/obp/ui#iso:std:iso:31000:ed-2:v1:es
el 6 de febrero de 2021.