La norma ISO 31000 es la norma internacional de gestión de riesgos. Más de 165 países la utilizan como referencia para establecer un sistema estructurado de supervisión de riesgos en toda la empresa. Si usted es director jurídico, secretario corporativo o responsable de compliance, los retos que aborda la norma ya están sobre su mesa: datos de riesgos fragmentados, metodologías de información inconsistentes y consejos de administración que esperan informes de riesgos claros y basados en pruebas.
Lo que diferencia a la norma ISO 31000 de la mayoría de los marcos de cumplimiento es su flexibilidad deliberada. Se trata de un documento de directrices, no de un requisito de certificación. No indica qué riesgos concretos deben abordarse. Ofrece principios, un marco y un proceso, y espera que su organización los adapte a su propio contexto.
Esa flexibilidad es una ventaja. También es el punto en el que fracasan la mayoría de los esfuerzos de implementación.
Puntos clave
¿Qué es la gestión de riesgos según la norma ISO 31000?
La norma ISO 31000 es la norma internacional sobre gestión de riesgos publicada por la Organización Internacional de Estandarización. Publicada por primera vez en 2009 y revisada en profundidad en 2018, define el riesgo como «el efecto de la incertidumbre sobre los objetivos», una definición que incluye deliberadamente tanto los resultados negativos como los positivos. El riesgo al alza, en otras palabras, forma parte del panorama tanto como la exposición a las pérdidas.
La norma ISO sobre gestión de riesgos se aplica a todo tipo de organizaciones, independientemente de su sector, tamaño o estructura jurídica. Tanto una empresa farmacéutica como una firma de servicios profesionales de tamaño medio pueden aplicar la norma ISO 31000, aunque deben adaptarla de forma diferente.
Hay algo que no ofrece: la certificación. No existe una auditoría ni una acreditación oficial de la norma ISO 31000. Las organizaciones que desean una validación externa suelen optar por normas certificables relacionadas, como la ISO 27001 o la ISO 9001, que se basan en los principios de la ISO 31000 para ámbitos específicos.
Los ocho principios fundamentales de la norma ISO 31000
Estos principios describen cómo se aplica en la práctica una gestión eficaz del riesgo. En la revisión de 2018 se redujeron de 11 a 8, haciendo mayor hincapié en el liderazgo y la alineación estratégica.
Según la norma ISO 31000, la gestión de riesgos debe:
Esto puede parecer abstracto. Pero no lo es. Si su equipo jurídico evalúa el riesgo contractual sin involucrar a finanzas o a compras, está infringiendo el cuarto principio. Si su registro de riesgos se actualiza una vez al año y se archiva, está infringiendo el quinto principio.
El Marco de Gestión de Riesgos ISO 31000
El marco constituye la capa estructural; describe cómo se integra la gestión de riesgos en la gobernanza y la toma de decisiones de la organización.
Los cinco componentes del marco de gestión de riesgos de la norma ISO 31000:
- Liderazgo y compromiso: Los altos directivos deben asumir activamente la responsabilidad de la gestión de riesgos. Sin el compromiso del consejo de administración y de la alta dirección, el marco carece de autoridad.
- Integración: La gestión de riesgos forma parte integrante de la planificación, las operaciones y todas las funciones empresariales principales.
- Diseño: El marco se adapta al contexto específico de la organización, incluyendo el entorno normativo, la cultura y los objetivos estratégicos.
- Aplicación: Los procesos , las funciones y las responsabilidades están documentados y en funcionamiento.
- Evaluación y mejora: El marco se evalúa y actualiza periódicamente a medida que la organización evoluciona.
Para los directores jurídicos y los secretarios generales, el primer punto es aquel al que deben prestar atención en primer lugar. En el contexto estadounidense, los requisitos de divulgación de la SEC, la legislación societaria de Delaware y las disposiciones de la ley Sarbanes-Oxley refuerzan la expectativa de que los consejos de administración participen activamente en la supervisión de riesgos. El marco de la norma ISO 31000 plasma esa expectativa en una metodología estructurada.
Cómo es el proceso de gestión de riesgos de la norma ISO 31000
El proceso es donde la teoría se convierte en práctica cotidiana. Es iterativo, se desarrolla de forma continua —no como un ejercicio anual— y se estructura en torno a ocho pasos interrelacionados.
El proceso de gestión de riesgos de la norma ISO 31000:
- Comunicación y consulta: diálogo continuo con las partes interesadas internas y externas a lo largo de todo el proceso
- Ámbito, contexto y criterios: definir qué objetivos protege la gestión de riesgos y cuál es la tolerancia al riesgo de la organización
- Identificación de riesgos: ¿Qué acontecimientos o circunstancias podrían afectar a esos objetivos?
- Análisis de riesgos: ¿Cuál es la probabilidad y el impacto potencial de cada riesgo identificado?
- Evaluación de riesgos según la norma ISO: ¿Qué riesgos deben abordarse y cuál es el orden de prioridad?
- Gestión del riesgo: reducir , transferir, aceptar o evitar — con una justificación documentada
- Seguimiento y revisión: Evaluar si los tratamientos están surtiendo efecto y si el panorama de riesgos ha cambiado
- Registro y presentación de informes: documentar cada paso para garantizar la gobernanza interna y la rendición de cuentas externa
Ese último paso merece especial atención. Para los equipos jurídicos internos que gestionan el riesgo normativo, los procesos judiciales en curso y las obligaciones contractuales, el historial documental suele ser tan importante como las propias decisiones sobre el riesgo.
Por qué los procesos manuales de gestión de riesgos fracasan a gran escala
Imagínate lo siguiente: tu consejo de administración te pide un resumen consolidado de todos los contratos activos que superen un determinado umbral de riesgo, clasificados por jurisdicción, antes de la reunión del comité de auditoría de la próxima semana. ¿Cuánto tiempo tarda su equipo en elaborarlo?
Si la respuesta sincera es «días», su organización está gestionando los riesgos con herramientas inconexas: hojas de cálculo mantenidas por diferentes equipos, cadenas de correos electrónicos a modo de registro de auditoría y estructuras de carpetas que solo una persona comprende del todo.
Los problemas estructurales de las prácticas manuales de gestión de riesgos:
La norma ISO 31000 exige integración, dinamismo y una documentación completa. Las hojas de cálculo no pueden ofrecer ninguno de estos tres aspectos de forma sistemática a gran escala.
Ventajas de la norma ISO 31000 para las organizaciones
Una gestión adecuada de los riesgos de la norma ISO genera resultados cuantificables, no es solo una casilla más que marcar para cumplir con la normativa.
Principales beneficios:
Un estudio realizado en 2023 por la Iniciativa ERM de la Universidad Estatal de Carolina del Norte reveló que las organizaciones que cuentan con programas de gestión de riesgos maduros e integrados en el consejo de administración obtuvieron resultados significativamente mejores que sus homólogas en los indicadores de estabilidad financiera a largo plazo, lo que refuerza lo que sugieren los principios de la norma ISO 31000.
La mayoría de las implementaciones de la norma ISO 31000 se estancan en la fase de documentación, no por falta de voluntad, sino porque no existe un sistema que garantice su cumplimiento. DiliTrust integra la identificación de riesgos con la presentación de informes al consejo de administración en un único flujo de trabajo regulado. Descubre la plataforma con un experto.
Cómo aplican las organizaciones la norma ISO 31000 en la práctica
La norma dice que hay que adaptarla a su contexto. Así es como se traduce esto en la práctica.
Empiece por los objetivos, no por los riesgos. Antes de identificar las amenazas, aclare qué es lo que la organización pretende proteger. Una empresa que se encuentra en pleno proceso de adquisición tiene prioridades de riesgo diferentes a las de otra que se enfrenta a una investigación regulatoria.
Asigne las responsabilidades de forma explícita. La gestión de riesgos se estanca si no hay una responsabilidad clara. Defina quién identifica los riesgos, quién los evalúa, quién los remite a un nivel superior y quién informa al consejo de administración.
Elija herramientas que faciliten la integración de la gestión de riesgos en todas las funciones. Una plataforma de gobernanza que conecte los riesgos contractuales, la exposición a litigios, los cambios en la entidad y la información presentada al consejo de administración constituye la «fuente única de verdad» que exige el marco de la norma ISO 31000.
Establezca una periodicidad para las revisiones. Como mínimo, revisiones trimestrales , además de revisiones puntuales tras acontecimientos importantes, adquisiciones, entradas en nuevos mercados o cambios normativos significativos. Los registros de riesgos que no se actualizan son registros de riesgos que no se están utilizando.
Presente los informes a los superiores siguiendo un formato estructurado. Los informes de riesgos destinados al consejo de administración deben estar estandarizados, en lugar de elaborarse desde cero cada trimestre. Los paneles de control basados en datos en tiempo real sustituyen a las presentaciones de PowerPoint elaboradas manualmente.
Estos son los mecanismos de lo que la norma ISO 31000 denomina «integración». Requieren tanto disciplina en los procesos como las herramientas adecuadas.
ISO 31000 vs. COSO ERM: una comparación detallada
A nivel mundial, dos marcos normativos dominan la gestión de riesgos empresariales: la norma ISO 31000 y el COSO ERM. Ambos abordan el mismo reto subyacente, pero adoptan enfoques diferentes.
| CRITERIO | ISO 31000 | COSO ERM |
|---|---|---|
| Origen | Organización Internacional de Estandarización | Comité de Organizaciones Patrocinadoras (EE. UU.) |
| Certificable | No | No |
| Ámbito de aplicación | Todas las organizaciones, todos los sectores | Principalmente empresas que cotizan en bolsa |
| Objetivo principal | Principios, marco, proceso iterativo | Estrategia, rendimiento, control interno |
| Anclaje normativo | De carácter marcadamente internacional | Contexto normativo marcadamente estadounidense |
| Flexibilidad | Muy alto | Moderado |
| Integración ISO | Directa (ISO 9001, ISO 27001, ISO 45001) | Sin integración ISO directa |
| Enfoque a nivel del consejo de administración | Requisito explícito de liderazgo | Integrado en el componente de gobernanza |
Para las organizaciones que operan en varias jurisdicciones, el reconocimiento internacional de la norma ISO 31000 la convierte en la base más práctica. El marco COSO ERM sigue siendo más habitual en las empresas cotizadas estadounidenses, donde el cumplimiento de la ley SOX determina la arquitectura de gestión de riesgos. Muchas organizaciones utilizan ambas normas: la ISO 31000 como metodología general y el COSO ERM para los aspectos específicos del control interno.
Por qué son importantes las plataformas de gobernanza y gestión de riesgos
La gestión de riesgos según la norma ISO 31000 solo funciona cuando la información sobre los riesgos no está dispersa por distintos sistemas. Los riesgos contractuales se gestionan en una herramienta. La exposición a litigios, en otra. Los cambios en las entidades se registran en una hoja de cálculo. Todo ello de forma aislada.
Esa fragmentación es incompatible con lo que exige el marco de la norma ISO 31000. La integración, la documentación y la supervisión en tiempo real requieren una base unificada.
Una plataforma de gobernanza integrada resuelve esto al reunir la información relevante sobre riesgos en un único entorno operativo. Esto permite, en la práctica:
Estos procesos se ajustan perfectamente a lo que exige la fase de «Registro y presentación de informes» de la norma ISO 31000 y a lo que los comités de auditoría y los consejos de administración esperan ver cada vez más.
¿Realiza el seguimiento de los riesgos de la norma ISO 31000 a través de hojas de cálculo y cadenas de correo electrónico? Existe una alternativa estructurada. Descubra cómo DiliTrust centraliza la supervisión de riesgos.
¿Por qué elegir DiliTrust para la gobernanza y la supervisión de riesgos?
DiliTrust es una plataforma de gobernanza integrada que ofrece a los directores jurídicos, responsables de cumplimiento normativo y secretarios corporativos la visibilidad centralizada y la estructura de documentación que exige la norma ISO 31000.
Los módulos más relevantes para la gestión de riesgos empresariales:
El resultado: su equipo jurídico puede identificar, documentar, escalar y comunicar los riesgos en un único lugar, de conformidad con los requisitos de la norma ISO 31000 y con las expectativas de su consejo de administración.
¿Cómo se ve esto en la práctica?
Identifique y realice un seguimiento de los riesgos en toda su organización, desde su detección hasta la presentación de informes al consejo de administración
Preguntas frecuentes sobre la norma ISO 31000
La mayoría de las organizaciones empiezan con hojas de cálculo y pronto se topan con sus limitaciones: documentación inconsistente, ausencia de pista de auditoría y ninguna forma de generar informes listos para el consejo sin esfuerzo manual. Las plataformas de gobernanza especializadas, como DiliTrust, centralizan todo el ciclo de la norma ISO 31000 en un único espacio de trabajo estructurado, que abarca la identificación, evaluación, tratamiento, seguimiento y notificación de riesgos.
La presentación manual de informes es el cuello de botella más común en la implementación de la norma ISO 31000. Las plataformas de gobernanza automatizan la agregación de datos de riesgos y generan resultados listos para presentar al consejo de administración sin necesidad de consolidar hojas de cálculo. DiliTrust conecta los registros de riesgos directamente con los flujos de trabajo de documentación del consejo de administración, de modo que los informes están estructurados antes de que nadie abra una presentación de diapositivas.
El marco es el mismo. La diferencia radica en la velocidad, la trazabilidad y la confianza del consejo de administración. Los procesos manuales se colapsan cuando los riesgos se agravan o los reguladores solicitan documentación. Una plataforma de gobernanza crea un registro persistente y auditable en cada paso del proceso de la norma ISO 31000, de modo que nada se queda en el tintero.
