ISO 31000: 2018 en

gestión de riesgos
1. Introducción
2. El sentido del riesgo según ISO 31000
3. Principios de ISO 31000
4. Apreciación del riesgo con ISO 31010
5. El Sistema de Gestión de Riesgos según
ISO 31000
Introducción 1

El comité técnico ISO ha publicado la nueva versión de ISO 31000:2018. Esta norma para
la Gestión de Riesgos ha sido simplificada. Permitirá a las empresas y organizaciones
revaluar sus metodologías de gestión sobre cualquier tipo de riesgo. La norma se centra
de forma exhaustiva en la atención de la gestión del riesgo, como una herramienta para
minimizar de forma anticipada las posibles inseguridades que pudieran producirse.

Principios de ISO 31000:2018 para la Gestión de Riesgos

Integración en Inclusión de
todas las Adaptación a la todas las partes
Estructuración
actividades organización interesadas

Consideración
Dinamismo y Base en la mejor Foco en la
de factores
respuesta a los información mejora continua
humanos y
cambios disponible
culturales
 El sentido del riesgo según ISO 31000 2

En Risk Management, el concepto de riesgo ha estado tradicionalmente asociado a ob-

jetivos negativos, ligados a la minimización de la ocurrencia de hechos no deseados.

Objetivos negativos

“¿Qué hechos no deseados pueden darse?” (Escenarios, consecuencias).

“¿Qué tiene la potencialidad de generar esos escenarios?” (Fuentes de peligro).

“¿Qué puede materializar esa potencialidad?” (Eventos y sucesos).

“¿Qué grado de certeza tengo de que ese suceso ocurra?” (Escenarios, probabilidad de
ocurrencia).

“¿Cómo defino el riesgo en estos términos?” (Listado de escenarios como combinación

de probabilidad x consecuencias de las diferentes ternas: fuente de peligro, suceso y
consecuencias

Objetivos positivos

El riesgo también puede estar asociado a un objetivo positivo.

“¿Qué puede pasar?” (Escenarios, cómo pueden verse afectados los objetivos).

“¿De qué depende que pase?” (Variables y factores).

“¿Qué control tengo sobre esas variables y factores?” (Azar y probabilidad).

“¿Qué efecto tendrá sobre mis objetivos?” (Escenarios, consecuencias positivas y ne-
gativas).
Principios de ISO 31000 3

La actualización de ISO 31000 para la Gestión de Riesgos convierte a este norma en el

centro de un nuevo modelo para la estrategia de riesgos. Los riesgos se contemplan
desde diferentes ópticas: económica, medioambiental, geopolítica, social y tecnológica.

La nueva ISO 31000 permite acometer una nueva visión de los riesgos corporativos,
como ataques a la reputación, ataques a través de Internet, vulnerabilidad de ataques
por amenazas políticas o terrorismo, tanto para organizaciones públicas como privadas,
de cualquier tamaño y sector. Es el primer estándar que establece la gestión de riesgos
sociales y ambientales, desarrollando nuevos estándares y procedimientos para la pre-
vención de posibles peligros. El liderazgo, el compromiso y la integración de las posibles
amenazas dentro de la estructura de la organización cobran especial relevancia en esta
nueva versión.

Principios de ISO 31000

Los cinco principios que ofrece ISO 31000 sobre las organizaciones para la Ges-
tión de Riesgos son los siguientes:

1 Un análisis crítico de los supuestos sobre los que se toman decisiones son vitales
para evitar decisiones erróneas.

La incertidumbre es fundamental para evitar el riesgo. No creer que existe puede

2 generar una falsa sensación de seguridad. Esta es la antesala de la crisis y el fra-
caso.

Una decisión anterior sobre los mismos parámetros puede no ser viable para una
3 segunda ocasión.

4 Sin riesgo, no hay decisión posible.

Afrontar la incertidumbre, ponderar la ambición estratégica y conocer la capaci-

5 dad real son sinónimos de tomar buenas decisiones.
 Apreciación del riesgo con ISO 31010 4

ISO 31010 para la Gestión de Riesgos se caracteriza por su recopilación a nivel mundial
de técnicas de análisis y evaluación de riesgos.

Técnicas de apreciación del riesgo

Tormenta de ideas o brainstorming. -Análisis de circuito furtivo (SNEAK).

-Análisis de Markov.
-Entrevistas estructuradas. -Simulación de Montecarlo.
-Técnica Delphi. -Estadísticas y redes Bayesianas.
-Listas de verificación o check list. -Curvas FN.
-Análisis preliminar de peligros (PHA). -Índices de riesgo.
-Estudios de peligros y operatividad (EPO-HAZOP). -Matriz de consecuencias/probabilidad.
-Análisis de peligros y puntos críticos de -Análisis costo/beneficio.
control (APPCC). -Análisis multicriterio (MCA).
-Apreciación de riesgo toxicológico.
-Estructura ¿qué pasaría si? (What it?-SWIFT).
-Análisis de escenario.
-Análisis del impacto del negocio (BIA).
-Análisis de la causa principal.
-Análisis de modo y efectos de falla
(AMFE y AMFEC).
-Análisis de árbol de fallas (FTA).
-Análisis de árbol de sucesos.
-Análisis de consecuencia.
-Análisis de causa y efecto.
-Análisis de capas de protección (LOPA).
-Árbol de decisión.
-Análisis de contabilidad humana.
-Análisis de esquema de pajarita o Bow tie.
-Mantenimiento enfocado en la contabilidad.

Estas técnicas han solido ser utilizadas en Risk Management en el sentido tradicional del
riesgo. No obstante, ISO 31000 trata de dar ampliar el concepto de riesgo, consideran-
do también aquellos aspectos positivos. Esta medición ha de ser útil para la Gestión de
Riesgos.

La identificación, evaluación y tratamiento del riesgo debe comprender los conceptos

de variabilidad, azar y mapa de objetivo. En consecuencia, hay que diseñar métodos que
permitan utilizar estos términos con la única finalidad de medir.