La ISO 31000 es la norma internacional que ofrece principios y directrices para gestionar cualquier tipo de riesgo dentro de una organización, desde el financiero hasta el reputacional, el operativo o el de cumplimiento. No certifica nada ni impone requisitos rígidos: te da un marco común para que tomar decisiones bajo incertidumbre deje de ser intuición y pase a ser un proceso ordenado y trazable.
Si tu empresa quiere anticiparse a los problemas en lugar de apagar fuegos, esta guía te explica qué dice la ISO 31000, cuáles son sus principios y su proceso, en qué se diferencia de otras normas y cómo aplicarla de forma práctica en la gestión de riesgos corporativos.
Lo esencial
- La ISO 31000 es una norma de directrices, no certificable, que sirve para gestionar riesgos de cualquier naturaleza y en cualquier organización.
- Su versión vigente es la ISO 31000:2018, que simplificó la estructura y reforzó el papel del liderazgo.
- Se apoya en tres pilares: principios, marco de referencia y proceso de gestión del riesgo.
- Es compatible con otros sistemas de gestión y con programas de compliance, donde aporta el método para evaluar riesgos legales y penales.
- Aplicarla mejora la toma de decisiones, la asignación de recursos y la resiliencia de la empresa.
¿Qué es la norma ISO 31000?
La ISO 31000 es una norma internacional, publicada por la Organización Internacional de Normalización, que proporciona un marco y unas directrices para la gestión del riesgo en cualquier organización. Su objetivo es que las empresas integren la gestión de riesgos en sus decisiones cotidianas en lugar de tratarla como un trámite aislado.
A diferencia de otras normas ISO, la 31000 no es certificable. Esto sorprende a muchas empresas, pero tiene una lógica clara: no establece requisitos auditables, sino orientaciones que cada organización adapta a su contexto, su tamaño y su sector. Funciona como una guía de buenas prácticas universal, válida tanto para una multinacional como para una pyme. Puedes consultar la ficha oficial de la norma en el sitio de la ISO.
La versión actual es la ISO 31000:2018, que sustituyó a la de 2009. Esta revisión simplificó el lenguaje, redujo el número de principios y puso el foco en el liderazgo y la integración del riesgo en la gobernanza de la empresa.
¿Cuáles son los principios de la ISO 31000?
Los principios de la ISO 31000 son la base que explica para qué sirve gestionar el riesgo y qué características debe tener una buena gestión. La versión de 2018 los organiza en torno a un objetivo central: crear y proteger valor.
Estos son los ocho principios que recoge la norma:
- Integrada. La gestión del riesgo forma parte de todas las actividades de la organización, no es un departamento aislado.
- Estructurada y exhaustiva. Un enfoque sistemático produce resultados coherentes y comparables.
- Adaptada. El marco se ajusta al contexto interno y externo y a los objetivos de cada empresa.
- Inclusiva. La participación de las partes interesadas mejora la información y la aceptación de las decisiones.
- Dinámica. La gestión del riesgo anticipa, detecta y responde a los cambios de forma continua.
- Mejor información disponible. Las decisiones se basan en datos actuales, históricos y previsiones, asumiendo sus límites.
- Factores humanos y culturales. El comportamiento y la cultura influyen en cada etapa de la gestión.
- Mejora continua. La gestión del riesgo evoluciona con la experiencia y el aprendizaje.
Estos principios no son teoría abstracta. Marcan la diferencia entre una empresa que reacciona ante los problemas y otra que los gestiona antes de que ocurran.
¿Cómo es el proceso de gestión del riesgo según la ISO 31000?
El proceso de gestión del riesgo de la ISO 31000 es una secuencia ordenada que va desde entender el contexto hasta tratar y revisar los riesgos. Su gran aportación es convertir algo difuso, el miedo a lo que pueda pasar, en pasos concretos y repetibles.
La norma describe estas etapas principales:
| Etapa | En qué consiste |
|---|---|
| Comunicación y consulta | Implicar a las partes interesadas en todo el proceso para compartir información y perspectivas |
| Alcance, contexto y criterios | Definir qué se va a analizar, en qué entorno y con qué criterios de aceptación del riesgo |
| Identificación del riesgo | Detectar qué puede salir mal, sus fuentes y sus posibles consecuencias |
| Análisis del riesgo | Comprender la naturaleza del riesgo, su probabilidad y su impacto |
| Valoración del riesgo | Comparar los resultados del análisis con los criterios para decidir prioridades |
| Tratamiento del riesgo | Elegir y aplicar opciones para modificar el riesgo: evitar, reducir, transferir o asumir |
| Seguimiento y revisión | Verificar que los controles funcionan y ajustar el proceso de forma continua |
| Registro e informe | Documentar el proceso y comunicar resultados para apoyar la toma de decisiones |
La clave está en que estas etapas no son una lista que se completa una vez y se archiva. Forman un ciclo vivo que se repite y se ajusta a medida que cambian la empresa y su entorno.
¿Qué es el marco de gestión del riesgo?
El marco de gestión del riesgo es la estructura organizativa que hace posible que el proceso funcione en toda la empresa. Mientras el proceso describe los pasos para tratar un riesgo concreto, el marco define quién lidera, cómo se integra la gestión en la gobernanza y cómo se asignan recursos y responsabilidades.
La ISO 31000:2018 sitúa el liderazgo y el compromiso de la alta dirección en el centro de ese marco. Sin respaldo del consejo, la gestión de riesgos se queda en un manual sin aplicación. Por eso el marco abarca el diseño, la implantación, la valoración y la mejora continua del propio sistema de gestión.
¿En qué se diferencia la ISO 31000 de la ISO 37301 y la UNE 19601?
La ISO 31000 aporta el método para gestionar riesgos, mientras que la ISO 37301 y la UNE 19601 regulan sistemas de gestión del cumplimiento que se apoyan en ese método. No compiten: se complementan, y entender la diferencia evita solapamientos y confusiones.
| Norma | Objeto | Certificable | Relación con el riesgo |
|---|---|---|---|
| ISO 31000 | Directrices generales de gestión del riesgo | No | Aporta el marco y el proceso de gestión de riesgos |
| ISO 37301 | Sistemas de gestión del compliance (cumplimiento) | Sí | Usa la evaluación de riesgos para priorizar controles de cumplimiento |
| UNE 19601 | Sistemas de gestión de compliance penal en España | Sí | Aplica el análisis de riesgos a la prevención de delitos |
En un programa de compliance, la ISO 31000 actúa como la caja de herramientas para evaluar riesgos, y las normas de cumplimiento determinan qué hacer con esos riesgos en el terreno legal y penal. Por eso muchas empresas que implantan un modelo de compliance penal adoptan el enfoque de la ISO 31000 para su análisis de riesgos. Un buen ejemplo de riesgo que conviene mapear con este método es el conflicto de intereses en la empresa, una de las fuentes de problemas más frecuentes y difíciles de detectar.
¿Por qué aplicar la ISO 31000 en tu empresa?
Aplicar la ISO 31000 mejora la calidad de las decisiones porque obliga a poner sobre la mesa los riesgos antes de actuar, no después. En un entorno de incertidumbre, esa anticipación se traduce en menos sorpresas, menos pérdidas y más confianza de clientes, inversores y autoridades.
Los beneficios más tangibles son varios. Permite asignar recursos donde el riesgo es mayor, en lugar de repartirlos a ciegas. Facilita cumplir con otras normativas, porque comparte lenguaje y método con sistemas de gestión de calidad, seguridad o cumplimiento. Refuerza la gobernanza, al dar al consejo una visión clara de los riesgos que asume la empresa. Y mejora la resiliencia, porque una organización que ha pensado sus riesgos reacciona mejor ante una crisis.
Hay un beneficio menos visible pero decisivo: la cultura. Cuando la gestión del riesgo se integra de verdad, las personas dejan de ocultar los problemas y empiezan a anticiparlos. Ese cambio, difícil de medir, es el que separa a las empresas que sobreviven a un imprevisto de las que no. Lo contrario, una gestión de riesgos solo aparente, suele estar detrás de los casos en los que un programa de cumplimiento normativo falla justo cuando más se necesitaba.
¿Cómo implantar la ISO 31000 paso a paso?
Implantar la ISO 31000 no requiere una auditoría externa, pero sí un método ordenado y el respaldo de la dirección. Al no ser certificable, la norma te da libertad para adaptarla, lo que es una ventaja siempre que no se convierta en excusa para no aplicarla con rigor.
Un camino razonable para empezar incluye estos pasos:
- Obtener el compromiso de la dirección. Sin liderazgo, el proyecto no avanza. El consejo debe asumir la gestión del riesgo como parte de la gobernanza.
- Entender el contexto. Analiza tu entorno interno y externo, tus objetivos y tus partes interesadas.
- Definir el marco. Establece roles, responsabilidades, recursos y cómo se integrará el riesgo en los procesos.
- Mapear los riesgos. Identifica, analiza y valora los riesgos relevantes para tu actividad.
- Tratar los riesgos. Decide para cada uno si lo evitas, lo reduces, lo transfieres o lo asumes, y aplica controles.
- Monitorizar y mejorar. Revisa periódicamente si los controles funcionan y ajusta lo que haga falta.
Llegados a este punto, la documentación y el seguimiento se vuelven críticos. Gestionar decenas de riesgos, controles y revisiones en hojas de cálculo es frágil y poco trazable. Aquí conecta con la gobernanza y la verificación continua de los controles, porque de nada sirve un mapa de riesgos que nadie revisa. Y si la ISO 31000 alimenta tu programa de compliance, conviene apoyarse en una plataforma de software de compliance que centralice riesgos, controles y evidencias.
Preguntas frecuentes sobre la ISO 31000
¿La ISO 31000 es certificable?
No, la ISO 31000 no es certificable. Es una norma de directrices que ofrece orientación, no requisitos auditables. Esto significa que ninguna entidad puede emitir un certificado de cumplimiento de la ISO 31000. Lo que sí puedes hacer es adoptar su marco para gestionar riesgos y demostrar con tu documentación que lo aplicas, algo que sí tiene valor ante autoridades y terceros.
¿Qué versión de la ISO 31000 está vigente?
La versión vigente es la ISO 31000:2018, que reemplazó a la de 2009. La revisión simplificó la estructura, redujo el número de principios y reforzó el papel del liderazgo y la integración del riesgo en la gobernanza. Si tu empresa trabaja con la versión anterior, conviene actualizar el enfoque a la de 2018.
¿La ISO 31000 sirve para el compliance penal?
Sí, y de hecho es muy útil. El compliance penal exige un análisis de riesgos de delitos, y la ISO 31000 aporta justo el método para realizarlo de forma estructurada. Normas como la UNE 19601 se apoyan en este tipo de enfoque. Usar la ISO 31000 para mapear riesgos penales ayuda a construir un modelo de prevención sólido y defendible.
¿Qué diferencia hay entre la ISO 31000 y la ISO 27001?
La ISO 31000 gestiona riesgos de cualquier naturaleza y no es certificable, mientras que la ISO 27001 se centra en la seguridad de la información y sí es certificable. La 27001 incorpora su propia gestión de riesgos de seguridad, que puede inspirarse en los principios de la 31000. Son normas complementarias: una da el marco general del riesgo y la otra lo aplica a un ámbito concreto.
¿Necesito un consultor para aplicar la ISO 31000?
No es imprescindible, pero ayuda. Una empresa con recursos internos y conocimiento de gestión de riesgos puede implantar el marco por su cuenta. Sin embargo, contar con apoyo especializado acelera el proceso, evita errores comunes y aporta una visión externa de los riesgos. La decisión depende del tamaño de la empresa, su nivel de riesgo y la experiencia de su equipo.
¿Cada cuánto hay que revisar la gestión de riesgos?
La ISO 31000 plantea la gestión del riesgo como un ciclo continuo, no como un ejercicio anual. El seguimiento debe ser permanente, y la revisión formal del mapa de riesgos suele hacerse al menos una vez al año o cada vez que cambia algo relevante: una nueva normativa, una nueva línea de negocio o un incidente significativo. Lo importante es que el sistema esté vivo y reaccione a los cambios.
