Skip to main content
Gestión de riesgos
26 Enero, 2026
Gestión de riesgos

Aplicación básica del proceso de gestión del riesgo ISO 31000

26 Enero, 2026

Aplicación básica del proceso de gestión del riesgo ISO 31000 en un buque portacontenedores atracado (caso marítimo)

Este artículo muestra, de forma práctica y para principiantes, cómo aplicar el proceso de gestión del riesgo ISO 31000 a un caso típico de security en interfaz buque–puerto: la contaminación del buque con drogas ilícitas en la obra viva por parte de buzos al servicio de organizaciones criminales. El enfoque se alinea con la lógica del proceso ISO 31000 y utiliza MAAR (OMI/OIT) como metodología de calificación, tal como se emplea en el contexto marítimo-portuario.

Bien a proteger: Buque portacontenedores de bandera europea atracado en una instalación portuaria de un país latinoamericano.
Criterio rector: No se acepta contaminación de carga/buque con drogas (tolerancia cero).
Riesgo principal: Adherencia/ocultamiento de droga en casco (bajo línea de flotación) durante la estadía en puerto.

Índice

  1. ¿Qué es el proceso ISO 31000 (visión rápida)?
  2. 1) Comunicación y consulta (quién participa y cómo)
  3. 2) Alcance, contexto y criterios (externo, interno y criterio MAAR)
  4. 3) Evaluación del riesgo (identificar, analizar, valorar)
  5. 4) Tratamiento del riesgo (controles y plan de acción)
  6. 5) Seguimiento y revisión (indicadores y verificación en muelle)
  7. 6) Registro e informe (evidencia, reportes y lecciones aprendidas)
  8. Tablas reutilizables (plantillas rápidas)
  9. FAQ
  10. Inscripción al curso
  11. Lecturas satélite recomendadas (codigopbip.com)

¿Qué es el proceso ISO 31000 (visión rápida)?

El proceso de ISO 31000 organiza la gestión del riesgo como una secuencia lógica y cíclica: comunicar/consultar, definir alcance–contexto–criterios, evaluar el riesgo (identificar, analizar, valorar), tratar el riesgo, y mantener seguimiento, revisión, registro e informe. En seguridad marítima esto se conecta naturalmente con PBIP/ISPS: amenazas, vulnerabilidades, medidas, evidencia y coordinación interagencial.

1) Comunicación y consulta

Para que el análisis sea defendible, la comunicación y consulta debe ocurrir antes, durante y después de valorar el riesgo. En este caso, el OPIP lidera la coordinación y asegura que haya decisiones operables (no “papel”).

Actores (stakeholders) y rol en el análisis

  • OPIP (Oficial de Protección de la Instalación Portuaria): convoca, consolida información, define criterios y formaliza planes.
  • OPB/SSO (Oficial de Protección del Buque): aporta capacidades del buque, rutinas, zonas críticas, control de accesos y rondas.
  • Capitán del buque: autoridad operacional a bordo; valida restricciones y recursos del buque.
  • Guardacostas / Autoridad marítima / Capitanía: coordinación para patrulla marítima, reportes y respuesta.
  • Policía antinarcóticos: inteligencia/alertas, patrones delictivos, judicialización si aplica.
  • Naviera y agencia marítima: requisitos del cliente, tolerancia cero, trazabilidad y reputación.
  • Seguridad privada (supervisor + guardas + CCTV): ejecución en muelle, observación y registro en tiempo real.
Tip operativo: defina un canal único de coordinación (radio/WhatsApp corporativo/centro de control) y un formato mínimo de reporte (qué–cuándo–dónde–quién–evidencia–acción) para evitar pérdidas de información.

2) Alcance, contexto y criterios

2.1 Definición del alcance

Alcance del análisis: estadía del buque atracado (desde amarre hasta zarpe), incluyendo interfaz buque–puerto, costado mar, zona de muelle asignada, rondas, CCTV, patrulla marítima y comunicaciones con autoridades.

2.2 Contexto externo (normativa y amenazas a la protección marítima)

  • Normativa de seguridad: requisitos PBIP/ISPS, obligaciones de protección en interfaz buque–puerto y coordinación con autoridad.
  • Entorno criminal: presencia de redes dedicadas al tráfico de drogas con capacidad de operar en aguas portuarias.
  • Riesgo reputacional y comercial: sanciones, inspecciones intensivas, pérdidas contractuales y afectación de rutas.

2.3 Contexto interno (capacidad organizacional para tratar el riesgo)

  • Organización fuerte: OPIP activo, supervisor de seguridad, guardas entrenados, centro CCTV, procedimientos y bitácoras.
  • Controles disponibles: CCTV operativo, control de accesos, iluminación, rondas, coordinación con OPB, protocolos de reporte.
  • Brechas reconocidas: patrulla marítima insuficiente y vigilancia del costado mar no continua.

2.4 Criterios del riesgo (tolerancia y método MAAR)

Criterio de aceptación: la organización define tolerancia cero ante contaminación con drogas (no se acepta el riesgo). Para calificar, se adopta MAAR (OMI/OIT) como escala práctica de consecuencias/impacto y probabilidad, consistente con el lenguaje sectorial marítimo. En su blog se explica cómo ISO 31000 y MAAR pueden complementarse en la práctica.

3) Evaluación del riesgo

La evaluación integra tres pasos: identificación, análisis y valoración. El objetivo no es “llenar una matriz”, sino decidir controles concretos en muelle y costado mar.

3.1 Identificación del riesgo (qué puede pasar y cómo)

Riesgo identificado: contaminación del buque con drogas ilícitas adheridas/ocultas en la obra viva (casco bajo la línea de flotación) mientras el buque está atracado, para su extracción posterior en otro punto de la ruta o para generar hallazgo en inspecciones.

La amenaza (definición operativa)

Amenaza real: organización criminal dedicada al tráfico de drogas que emplea buzos delincuentes (y eventualmente redes de apoyo en tierra y/o infiltración) con capacidad (medios, experiencia, logística) e intención (contaminar el buque).

Vulnerabilidades clave observables en este tipo de escenario

  • Falta de patrulla marítima permanente en la interfaz buque–puerto.
  • Vigilancia incompleta del costado mar (ángulos ciegos, horarios sin cobertura, baja detección de nadadores).
  • Controles humanos vulnerables (pérdida de principios/valores, tolerancia al soborno, fatiga, exceso de confianza).
  • Brechas tecnológicas (CCTV sin analítica, sin cobertura térmica/nocturna, sin procedimiento de escalamiento inmediato).

3.2 Análisis del riesgo (causas, factor de riesgo y cómo ocurre)

Situación de riesgo (formato narrativo tipo PBIP)

Buque portacontenedores de bandera europea atracado en una instalación portuaria latinoamericana. Una organización criminal, mediante buzos delincuentes coordinados desde una embarcación de apoyo fuera del perímetro inmediato, se aproxima al casco por el lado de mar y fija paquetes con droga ilícita bajo la línea de flotación. Aprovechan la ausencia de patrulla marítima, la falta de detección de nadadores y una cultura de control debilitada (pérdida de principios/valores en personal clave). La contaminación se mantiene oculta hasta que el buque zarpa; posteriormente, la carga ilícita puede ser retirada en puerto de destino o generar hallazgos y procedimientos sancionatorios en puertos de destino.

Modus operandi (MO) resumido

  1. Reconocimiento: observación de rutinas de guardas, cámaras, iluminación y horarios de baja cobertura.
  2. Inserción: ingreso de buzos desde punto cercano (muelle, embarcación menor, o área contigua).
  3. Fijación: adherencia/amarre de paquetes al casco (zona de obra viva) minimizando visibilidad desde muelle.
  4. Persistencia: evitar detección durante operaciones (ruido, maniobras, distracciones, baja coordinación interagencial).
  5. Explotación: retiro posterior en puerto de destino o utilización para coacción/daño reputacional si se detecta en destino.

Impacto y consecuencias (enfoque marítimo)

  • Impacto principal: condicionamiento/afectación del Certificado Internacional de Protección del Buque,  condicionamiento/afectación de la declaración de cumplimiento de la Instalación Portuaria de donde zarpó el buque o hizo transito y fué contaminado.
  • Consecuencias: pérdida de reputación, pérdida de clientes, costos legales, demoras operativas, auditorías reforzadas.

3.3 Valoración del riesgo (decidir si se acepta o se trata)

Con el criterio de “tolerancia cero”, el riesgo se clasifica como No aceptable. Por tanto, debe definirse tratamiento inmediato con controles verificables (no solo declarativos). 

4) Tratamiento del riesgo

Tratar el riesgo significa seleccionar e implementar medidas que reduzcan probabilidad y/o consecuencias, con responsables, recursos, plazos y evidencia.

4.1 Objetivo del tratamiento

  • Elevar la detección y disuasión en el costado mar (nadadores/embarcaciones sospechosas).
  • Reducir la oportunidad del Modus operandi (MO) mediante vigilancia continua y respuesta coordinada.
  • Endurecer el factor humano (integridad, supervisión, rotación, control de acceso a información sensible).

4.2 Controles propuestos (según su caso)

  • Patrulla marítima implementada por la instalación portuaria en franjas definidas.
  • Inspecciones del casco: Coordinar con guardacostas, policía antinarcóticos o contratar una empresa privada para hacer una inspección del casco de la motonave en la obra viva antes del zarpe para descartar o confirmar la presencia de drogas ilicitas.
  • Interfaz buque–puerto: OPIP coordina con OPB vigilancia del costado mar y rutinas de observación.
  • Centro CCTV: Implementación de una cámara térmica para vigilar los alrededores del muelle y motonaves atracadas; protocolo de escalamiento inmediato a Guardacostas ante nadadores/buzos/embarcaciones sospechosas.
  • Guardas en muelle: rondas con puntos de control, verificación de ángulos ciegos, reporte de burbujas en el agua, nadadores y embarcaciones sospechosas.
  • Factor humano: controles de integridad (pruebas de confiabilidad, poligrafia, estudio del estilo de vida, viistas domiciliarias, reforzar la cultura de la legalidad, supervisión, rotación, sanciones, gestión de información sensible).

5) Seguimiento y revisión

El seguimiento verifica si los controles funcionan y la revisión ajusta lo que no sirve. En este caso: OPIP + OPB + supervisor de seguridad realizan verificación operacional; guardas y CCTV aportan evidencia.

Indicadores simples (KPI/KRI) para empezar

  • KRI: número de avistamientos de nadadores/embarcaciones sospechosas por ventana operativa.
  • KPI: % de tiempo con vigilancia efectiva del costado mar (CCTV + guarda + patrulla).
  • KPI: tiempo de escalamiento a Guardacostas desde la primera detección (minutos).
  • KPI: cumplimiento de rondas y puntos de control (evidencia en bitácora).

6) Registro e informe

El registro transforma el análisis en evidencia. El OPIP consolida e informa a gerencia y, si aplica, reporta el suceso de protección a la autoridad marítima. Seguridad privada y CCTV entregan informes y respaldos (clips, bitácoras, actas).

Contenido mínimo del informe (recomendado)

  1. Fecha/hora, ubicación exacta (muelle/posición del buque), condiciones (clima/visibilidad).
  2. Descripción del evento (qué se observó) y acciones ejecutadas.
  3. Evidencia (video, fotos, logs de CCTV, bitácora de rondas, comunicaciones).
  4. Coordinación (quién fue notificado y cuándo): Guardacostas, Policía, Capitanía, naviera, capitán, agencia.
  5. Medidas inmediatas y acciones correctivas/preventivas.
  6. Lecciones aprendidas y actualización del análisis (riesgo residual).

Tablas reutilizables (plantillas rápidas)

Tabla 1. Alcance–Contexto–Criterios

Elemento Definición para el caso
Alcance Estadía del buque atracado: interfaz buque–puerto, costado mar, muelle asignado, CCTV, rondas, patrulla marítima, coordinación con autoridades.
Contexto externo Normativa de seguridad marítima (PBIP/ISPS) y entorno delictivo de tráfico de drogas; exigencias reputacionales/comerciales en puertos de destino.
Contexto interno OPIP + supervisor + guardas + CCTV; procedimientos y bitácoras; brecha: cobertura insuficiente del costado mar/patrulla marítima.
Criterio del riesgo Tolerancia cero: no se acepta contaminación con drogas. Calificación mediante MAAR (probabilidad × consecuencia/impacto) para priorización sectorial.

Tabla 2. Registro del riesgo (formato básico)

ID Amenaza Riesgo Vulnerabilidad Factor de riesgo Impacto/Consecuencia Controles actuales Tratamiento Responsable
SEC-01 Organización criminal (buzos delincuentes) Contaminación con droga en obra viva (casco) Sin patrulla marítima / vigilancia incompleta del costado mar Pérdida de principios y valores (riesgo interno) Condicionamiento de cumplimiento + pérdida reputacional + pérdida de clientes CCTV + guardas + rondas (limitado en costado mar) Patrulla marítima + protocolo CCTV/Guardacostas + coordinación OPIP–OPB OPIP / OPB / Supervisor

Tabla 3. Segmentación para alertas y controles (ejemplo)

La segmentación ayuda a definir alertas y medidas por zona, tiempo y actor (no todo se controla igual).

Segmento Señales de alerta Medidas de control Responsable
Costado mar (zona crítica) Nadadores, burbujas, luces en agua, embarcación menor merodeando Patrulla marítima + observación dedicada cámara térmica + escalamiento inmediato a Guardacostas OPIP / Guardacostas
Muelle (zona operativa) Personas no autorizadas, rondas incompletas, puntos ciegos Inspección del casco (obra viva) de las motonaves atracadas por buzos +Rondas con puntos de control + control de accesos + iluminación Supervisor / Guardas
Centro CCTV Pérdida de señal, cámaras fuera de servicio, falta de monitoreo continuo Checklist por turno + redundancias + protocolo de incidentes Jefe CCTV

Preguntas frecuentes (FAQ)

¿Por qué ISO 31000 si ya existe PBIP/ISPS?

Porque ISO 31000 aporta un lenguaje transversal de gestión del riesgo (objetivos, incertidumbre, proceso, evidencia), mientras PBIP/ISPS aporta el enfoque sectorial de protección marítima (amenazas, medidas, niveles, interfaz buque–puerto). En la práctica se complementan.

¿Qué diferencia hay entre amenaza, vulnerabilidad y riesgo?

  • Amenaza: actor con capacidad e intención (p. ej., organización criminal con buzos).
  • Vulnerabilidad: debilidad explotable (p. ej., sin patrulla marítima / costado mar sin vigilancia efectiva).
  • Riesgo: efecto sobre objetivos si ocurre el evento (p. ej., contaminación con drogas y pérdidas reputacionales/comerciales).

¿Qué evidencia “mínima” debería existir para que el análisis sea defendible?

Bitácoras de rondas, logs de CCTV, reportes de avistamientos, comunicaciones con autoridades, actas de coordinación OPIP–OPB, planes de tratamiento con responsables y verificación de implementación.

¿Qué es lo primero que debería mejorar una instalación portuaria en este riesgo?

La cobertura del costado mar (detección y respuesta): patrulla marítima, vigilancia efectiva y escalamiento inmediato, porque el Modus Operandi (MO) de buzos se aprovecha precisamente de ese vacío.

CTA: Inscríbase al Curso Analista de Riesgos ISO 31000

Si desea aprender a aplicar este proceso con plantillas, ejercicios y casos marítimos reales (incluida calificación MAAR), inscríbase al curso: Analista de Riesgos ISO 31000.

Solicitar inscripción por WhatsApp (+57 300 5700816)

Artículos satélite recomendados (codigopbip.com)

Nota: este artículo está diseñado como plantilla reutilizable. Puede copiar las tablas y adaptarlas a otros riesgos (robo de carga, polizones, sabotaje, intrusión, ciberincidentes, etc.).

Director General Academia ASI Ltda.
Contacte al autor

Posts relacionados

¿Necesita orientación? Contáctenos