La gestión del riesgo no es un documento, es un proceso vivo. El Capítulo 6 de la ISO 31000:2018 describe el proceso de gestión del riesgo, el corazón operativo de la norma. Comprenderlo y aplicarlo correctamente marca la diferencia entre un análisis de riesgos “en papel” y una herramienta real para la toma de decisiones.
6.1 Generalidades
El proceso de gestión del riesgo según ISO 31000 es sistemático, iterativo y dinámico. Su propósito es apoyar la toma de decisiones, no eliminar el riesgo, sino comprenderlo y gestionarlo de manera informada.
- Aplica a cualquier organización, sector o actividad.
- Debe integrarse en la gobernanza y en los procesos operativos.
- Se adapta al contexto y a los objetivos.
6.2 Comunicación y consulta
La comunicación y consulta son transversales a todo el proceso. Un análisis de riesgos aislado, sin participación de las partes interesadas, pierde valor y credibilidad.
- Permite comprender percepciones del riesgo.
- Mejora la calidad de la información.
- Facilita la aceptación de las decisiones.
Error común: hacer el análisis solo desde el escritorio del analista.
6.3 Alcance, contexto y criterios
6.3.1 Generalidades
Antes de identificar riesgos, la norma exige definir claramente qué se va a analizar y bajo qué reglas.
6.3.2 Definición del alcance
El alcance delimita el análisis y evita conclusiones erróneas.
| Elemento | Ejemplo |
|---|---|
| Proceso | Canal de acceso portuario |
| Horizonte | 12 meses |
| Límites | Desde boya de recalada hasta atraque |
6.3.3 Contextos externo e interno
- Contexto externo: regulaciones, entorno social, amenazas, mercado.
- Contexto interno: estructura, procesos, cultura, recursos.
6.3.4 Definición de los criterios del riesgo
Los criterios permiten decidir cuándo un riesgo es aceptable o no.
- Apetito y tolerancia al riesgo.
- Requisitos legales y contractuales.
- Impacto financiero, operativo, reputacional y de seguridad.
6.4 Evaluación del riesgo
6.4.1 Generalidades
La evaluación del riesgo incluye identificar, analizar y valorar los riesgos.
6.4.2 Identificación del riesgo
Consiste en reconocer qué puede ocurrir, por qué y cómo puede afectar los objetivos.
6.4.3 Análisis del riesgo
Se estiman consecuencias, probabilidad y controles existentes para comprender la magnitud del riesgo.
6.4.4 Valoración del riesgo
Se compara el nivel de riesgo contra los criterios definidos para priorizar la toma de decisiones.
6.5 Tratamiento del riesgo
6.5.1 Generalidades
El tratamiento del riesgo busca modificar el riesgo, no eliminarlo indiscriminadamente.
6.5.2 Selección de opciones
- Evitar el riesgo.
- Reducir la probabilidad o el impacto.
- Compartir el riesgo.
- Aceptar el riesgo de forma informada.
6.5.3 Planes de tratamiento
Todo tratamiento debe contar con responsables, plazos, recursos e indicadores de seguimiento.
6.6 Seguimiento y revisión
Los riesgos cambian. Por ello, la norma exige monitorear y revisar continuamente:
- La eficacia de los controles.
- Los cambios del contexto.
- La aparición de riesgos emergentes.
6.7 Registro e informe
Registrar e informar garantiza trazabilidad, transparencia y soporte a la auditoría y a la toma de decisiones.
Si no está documentado, no existe para la gestión.
Artículos recomendados
- ISO 31000: fundamentos de la gestión del riesgo
- Cómo realizar un análisis de riesgos según ISO 31000
- Riesgos emergentes y resiliencia organizacional
- COSO ERM vs ISO 31000: diferencias clave
Preguntas frecuentes (FAQ)
¿El proceso ISO 31000 es obligatorio?
No es certificable, pero es ampliamente exigido como buena práctica por auditores, autoridades y organizaciones.
¿Quién debe realizar el proceso de gestión del riesgo?
La responsabilidad es de la organización. El analista facilita, estructura y apoya la toma de decisiones.
¿Puedo aplicar este proceso a seguridad marítima o portuaria?
Sí. ISO 31000 es totalmente compatible con el Código PBIP, ISO 28000, BASC y OEA.
Capacítese como Analista de Riesgos ISO 31000
Comprender el Capítulo 6 es solo el inicio. Aplicarlo correctamente requiere criterio, metodología y experiencia práctica.
El Curso Analista de Riesgos ISO 31000 le enseña a:
- Diseñar y ejecutar análisis de riesgos reales.
- Formular riesgos defendibles ante auditorías.
- Integrar ISO 31000 con PBIP, ISO 28000, BASC y OEA.
- Aplicar análisis por escenarios y riesgos emergentes.
Inscribirme al curso por WhatsApp
👉 Más información del programa: Curso Analista de Riesgos ISO 31000
¿Necesita orientación? Contáctenos