Qué es ISO 31000: Guía Completa Gestión del Riesgo | GRC360

El riesgo es inherente a toda actividad empresarial. Cada decisión que toma una organización —lanzar un producto, invertir en tecnología, expandirse a un nuevo mercado, contratar personal— involucra incertidumbre y potenciales consecuencias positivas o negativas. ISO 31000 es la norma internacional que proporciona directrices para gestionar este riesgo de manera sistemática, transparente y eficaz, integrando la gestión del riesgo en todas las actividades y decisiones de la organización.

A diferencia de otras normas ISO como ISO 27001 o ISO 9001, ISO 31000 no es certificable. Es un estándar de directrices que proporciona principios y un marco de referencia que puede adaptarse a cualquier organización, sector o tipo de riesgo.

Estructura de ISO 31000:2018

ISO 31000 se organiza en tres componentes interrelacionados:

Componente	Propósito	Contenido
Principios	Establecer las bases de la gestión del riesgo	8 principios que guían el diseño y operación
Marco de referencia	Integrar la gestión del riesgo en la organización	Liderazgo, integración, diseño, implementación, evaluación, mejora
Proceso	Gestionar riesgos específicos	Comunicación, contexto, identificación, análisis, evaluación, tratamiento, monitoreo

¿Qué es el riesgo según ISO 31000?

ISO 31000 define el riesgo como el efecto de la incertidumbre sobre los objetivos. Esta definición es significativamente más amplia que la visión tradicional del riesgo como amenaza o peligro. Implica que el riesgo puede tener efectos positivos (oportunidades) o negativos (amenazas), el riesgo siempre está vinculado a objetivos específicos, la incertidumbre es el origen del riesgo y la gestión del riesgo busca comprender y gestionar esa incertidumbre.

Los 8 principios de gestión del riesgo

Los principios establecen que la gestión del riesgo debe ser:

Integrada: parte integral de todas las actividades organizacionales
Estructurada y exhaustiva: enfoque sistemático que produce resultados consistentes
Personalizada: adaptada al contexto de la organización
Inclusiva: involucra a las partes interesadas
Dinámica: responde a cambios en el contexto
Basada en la mejor información disponible: utiliza datos y evidencia
Considera factores humanos y culturales: reconoce la influencia de las personas
Orientada a la mejora continua: se perfecciona a través de la experiencia

El proceso de gestión del riesgo

El proceso de ISO 31000 incluye las siguientes etapas:

Comunicación y consulta: interacción con partes interesadas a lo largo de todo el proceso
Establecimiento del contexto: comprender el entorno interno y externo
Identificación del riesgo: encontrar, reconocer y describir los riesgos
Análisis del riesgo: comprender la naturaleza del riesgo, sus causas, probabilidad y consecuencias
Evaluación del riesgo: comparar los resultados del análisis con los criterios para determinar qué riesgos necesitan tratamiento
Tratamiento del riesgo: seleccionar e implementar opciones para abordar el riesgo
Monitoreo y revisión: seguimiento continuo de riesgos y eficacia de los tratamientos

Profundiza en el proceso en nuestro artículo sobre evaluación de riesgos según ISO 31000.

ISO 31000 como base para otras normas

ISO 31000 es el fundamento de gestión de riesgos que subyace en todas las normas de sistemas de gestión ISO:

ISO 27001 aplica el proceso de gestión de riesgos de seguridad de la información
ISO 14001 requiere abordar riesgos y oportunidades ambientales
ISO 45001 se basa en la evaluación de riesgos de SST
ISO 22301 evalúa riesgos que pueden causar interrupciones
ISO 55001 toma decisiones sobre activos basadas en riesgo

Implementar ISO 31000 como marco transversal permite armonizar los diferentes enfoques de riesgo de cada norma en un solo modelo coherente.

Aplicación en el contexto chileno

Chile presenta un entorno de riesgo particular que ISO 31000 ayuda a gestionar: riesgo sísmico y de desastres naturales, riesgo regulatorio en evolución (Ley 21.663, Ley 21.719), riesgos de la cadena de suministro internacional, riesgo social y de gobernanza, riesgos cibernéticos crecientes y riesgos climáticos y ambientales.

Para las empresas chilenas que ya gestionan riesgos en diferentes ámbitos, ISO 31000 proporciona el lenguaje común y el marco integrador que permite tener una visión unificada del perfil de riesgo organizacional.

Importante: ISO 31000 no es certificable, pero sus principios y proceso son referenciados por todas las normas ISO certificables. Conocer ISO 31000 mejora la implementación de cualquier otra norma de gestión.

Buena práctica: Utiliza ISO 31000 como marco integrador de los diferentes enfoques de riesgo de tu organización. En lugar de tener silos separados (riesgo financiero, riesgo operacional, riesgo de seguridad), crea un enfoque unificado que permita priorizar y gestionar los riesgos de manera holística. Consulta también nuestra guía sobre cómo crear una matriz de riesgos efectiva.

Gestiona riesgos con GRC360

GRC360 te permite implementar el proceso de gestión de riesgos de ISO 31000 con matrices de riesgo configurables, evaluación multicriteria, planes de tratamiento y dashboards de riesgo ejecutivos.

Crear Cuenta Gratis

Continúa con principios de gestión del riesgo, marco de referencia y proceso de evaluación de riesgos.

Qué es ISO 31000: guía de gestión del riesgo