| 25 años generando CONFIANZA
Inicio /
¿Qué es la identificación de riesgos según ISO 31000?
Para poder realizar la identificación de los riesgos en una organización, como primera medida es esencial tener claridad acerca del concepto de riesgo, Un riesgo corresponde a un evento, suceso, situación que es susceptible de presentarse o no, en caso de presentarse-materializarse afecta el logro de los objetivos trazados, si lo afecta en un contexto negativo, es decir que impida o retrase el cumplimiento del mismo se da la connotación de riesgo, y si, por el contrario, potencia la posibilidad de lograrlo, se le da la connotación de oportunidad.
En el proceso de identificar los riesgos en una organización, es clave contar con información coherente y actualizada acerca de las actividades que se llevan a cabo en los diferentes procesos, los resultados esperados de las mismas, como orígenes de riesgos, se puede acudir a diversas fuentes de información, como lo son:
- Las fuentes de riesgos materiales, las que podemos ver, maquinaria, infraestructura, y las fuentes de riesgos que no podemos identificar a simple vista. Cambios en los mercados, costumbres, etc.
- Del análisis de contexto extraer las amenazas y debilidades para la identificación de riesgos y las oportunidades.
- Caracterizar los activos y recursos con los que cuenta la organización, identificando su naturaleza y valor.
- Los aspectos relacionados con los tiempos.
Fuentes internas y externas de riesgos
Es importante resaltar que se deben tener en cuenta para la identificación de riesgos, las fuentes internas (Propias de la organización y que esta controla), y las fuentes externas, las no controladas por la organización.
Ahora bien, teniendo claro el concepto de riesgo y algunas de sus fuentes, es preciso realizar los siguientes pasos para completar el proceso de identificación, la organización deberá priorizar de esta lista encontrada, aquellos riesgos para los cuales va a emprender planes de acción en el corto y mediano plazo.
- Descripción paso a paso de los procesos: estas se pueden encontrar en los procedimientos y el objetivo es poder identificar las diversas actividades que se llevan a cabo, los responsables, la cantidad de personas involucradas.
- Después de tener identificado el listado de actividades, para cada una de ellas identificar que puede salir mal, fuera de los parámetros esperados.
- En caso de que la actividad se salga de los parámetros esperados, y afecte negativamente el proceso, cuáles son los efectos que esta desviación puede causar.
- Partiendo del punto anterior, realizar una descripción de los riesgos identificados.
- Clasificar los riesgos identificados, por categorías que luego permitan dar una respuesta adecuada, por ejemplo, riesgos relacionados con la seguridad de la información, riesgos financieros, riesgos operacionales.
- Determinar el proceso y/o cargo responsable de dar tratamiento a ese riesgo.
- Identificar el plazo en el que se debe tratar el riesgo.
- Determinar si el riesgo existe o está implícito con el desarrollo de la actividad, o si es un riesgo que se podría eliminar o reemplazar por otro menos impactante con algún cambio en el desarrollo de la actividad.
- Previamente, se debe haber determinado una escala de calificación para el riesgo, normalmente, se tiene en cuenta para esta escala la probabilidad y el impacto, entre otras variables, esto con el fin de que basados en esta escala, se identifique el riego inicial (Inherente) en que escala se encuentra.
- Listar los posibles controles que se pueden aplicar para el riego identificado.
- Establecer los responsables de aplicar los controles identificados.
- Indicar cuáles serían las evidencias que se dejan para demostrar la aplicación del control.
- Identificar la periodicidad con la que debe aplicarse el control.
Los anteriores pasos nos darán la entrada para el siguiente proceso que corresponde al análisis del riesgo, es muy importante que para el ejercicio de identificación de riesgos, se involucre al personal que desarrolla directamente las actividades con el fin de que no sea un ejercicio netamente teórico, sino que sea basado en la realidad, en el día a día, de esta manera estará aportando mayor valor para el objetivo final que es poder tratar los mismos, evitando su materialización o disminuyendo el impacto que este podría generar.
Como lo hemos mencionado en artículos anteriores, el ejercicio de identificar los riesgos y demás etapas del ciclo (Analizarlos, evaluarlos, establecer controles, planes de acción), son ejercicio dinámico y cuya periodicidad dependerá de la necesidad de la organización, de los cambios en los mercados, en las condiciones de salud mundial (Pandemias), entre otros factores, que va a determinar cada cuánto se debe realizar la actualización de la matriz de riesgos, ante escenarios actuales tan volátiles y cambiantes es un desafío y cobra mayor relevancia el proceso de la gestión del riesgo en las organizaciones.
Cómo construir una matriz de riesgos ISO 31000 paso a paso
La matriz de riesgos es una herramienta esencial para priorizar los riesgos en función de su probabilidad e impacto, facilitando la toma de decisiones informadas. A continuación, se detalla un proceso paso a paso para construir una matriz de riesgos alineada con los principios y directrices de la norma ISO 31000:
1. Establecer el contexto
Antes de construir la matriz, es fundamental definir el contexto organizacional e identificar los objetivos estratégicos, operativos, financieros y de cumplimiento. Esto permite enfocar el análisis en los riesgos realmente relevantes.
2. Identificar los riesgos
Recopila los riesgos detectados durante la fase de identificación. Cada riesgo debe estar claramente descrito, incluyendo su causa, evento y consecuencias. Puedes utilizar herramientas como lluvias de ideas, análisis FODA o análisis de procesos para obtener una visión completa.
3. Definir criterios de impacto y probabilidad
Establece escalas claras para valorar la probabilidad (frecuencia de ocurrencia) y el impacto (nivel de consecuencias negativas). Por ejemplo:
Probabilidad:
- Muy baja (1): Raro que ocurra
- Baja (2): Ocurre ocasionalmente
- Media (3): Posible
- Alta (4): Probable
- Muy alta (5): Ocurre frecuentemente
Impacto:
- Insignificante (1)
- Menor (2)
- Moderado (3)
- Mayor (4)
- Catastrófico (5)
4. Evaluar cada riesgo
Asigna una puntuación a cada riesgo combinando sus niveles de impacto y probabilidad. Esto puede hacerse mediante una matriz de 5×5, donde cada celda representa un nivel de riesgo (bajo, medio, alto o extremo).
5. Diseñar la matriz de riesgos
Crea una tabla con la probabilidad en un eje y el impacto en el otro. Llena la matriz con los niveles de riesgo según la combinación de ambos factores. Puedes usar una codificación por colores para facilitar su visualización:
- Verde: Riesgo bajo
- Amarillo: Riesgo medio
- Naranja: Riesgo alto
- Rojo: Riesgo extremo
6. Priorizar los riesgos
Con la matriz finalizada, enfócate en aquellos riesgos ubicados en las zonas de mayor criticidad (alto y extremo). Estos requieren un tratamiento inmediato o la definición de controles más robustos.
7. Validar y actualizar
Finalmente, valida la matriz con los responsables de gestión y revisa su vigencia periódicamente. El entorno cambia, y con él, los riesgos también evolucionan.
Ejemplo de matriz de riesgos ISO 31000 aplicada a un proceso
Para comprender mejor la utilidad de la matriz de riesgos en el marco de la norma ISO 31000, veamos su aplicación práctica en un proceso específico. Supongamos que queremos evaluar los riesgos asociados al proceso de gestión de compras en una empresa.
1. Contexto del proceso
El proceso de compras tiene como objetivo garantizar el abastecimiento oportuno de bienes y servicios, bajo criterios de calidad, costo y cumplimiento normativo. Está expuesto a múltiples riesgos que pueden afectar tanto la eficiencia operativa como el cumplimiento contractual o la imagen de la organización.
2. Identificación de riesgos del proceso
Algunos de los riesgos relevantes para este proceso podrían ser:
| Código | Riesgo identificado |
|---|---|
| R1 | Retrasos por falta de proveedores calificados |
| R2 | Adquisición de productos defectuosos o no conformes |
| R3 | Fraudes o conflictos de interés en procesos de compra |
| R4 | Incumplimiento de normativas legales o contractuales |
3. Criterios de evaluación
Se define una escala de 1 a 5 para probabilidad e impacto. Por ejemplo:
- Probabilidad (P):
1 = Muy improbable
5 = Muy probable
- Impacto (I):
1 = Insignificante
5 = Crítico
4. Valoración y construcción de la matriz
Se evalúan los riesgos y se asignan valores según su probabilidad e impacto:
| Riesgo | Probabilidad (P) | Impacto (I) | Nivel de riesgo (P x I) | Clasificación |
|---|---|---|---|---|
| R1 | 4 | 3 | 12 | Alto |
| R2 | 3 | 4 | 12 | Alto |
| R3 | 2 | 5 | 10 | Medio |
| R4 | 5 | 5 | 25 | Crítico |
5. Visualización de la matriz
| Impacto 1 | Impacto 2 | Impacto 3 | Impacto 4 | Impacto 5 | |
|---|---|---|---|---|---|
| P 5 | Medio | Alto | Alto | Muy Alto | Crítico |
| P 4 | Bajo | Medio | Alto | Muy Alto | Muy Alto |
| P 3 | Bajo | Medio | Medio | Alto | Muy Alto |
| P 2 | Bajo | Bajo | Medio | Medio | Medio |
| P 1 | Bajo | Bajo | Bajo | Bajo | Medio |
Los riesgos críticos se priorizan para tratamiento inmediato
6. Tratamiento y seguimiento
Una vez clasificados los riesgos:
- R4 (Crítico): Se diseña un plan de cumplimiento y auditoría interna trimestral.
- R1 y R2 (Altos): Se refuerza el proceso de homologación de proveedores y control de calidad.
- R3 (Medio): Se implementan políticas de integridad y mecanismos de denuncia anónima.
Software para gestionar riesgos con la ISO 31000
Con el software para gestionar riesgos de ISOTools identifica y administra los riesgos que cruzan la organización, integrándose en todos los procesos y permitiendo la gestión de riesgos en proyectos, aspectos operativos, financieros, legales, gubernamentales, ambientales, de seguridad y salud o de seguridad TI, entre otros. Además, alinea la estrategia con el apetito por el riesgo.
ISOTools permite el establecimiento del contexto, identificación, análisis y tratamiento hasta la implementación de los procesos necesarios para el seguimiento y medición. Y lo mejor: todo centralizado en un único espacio y con posibilidad de reutilizar de forma intuitiva elementos de su propio inventario de riesgos.
¿Desea saber más?
Entradas relacionadas
7 julio, 2025
El segundo semestre de 2025 arranca con un entorno empresarial cada vez más determinado por el cumplimiento normativo…
3 julio, 2025
El cumplimiento DORA se ha convertido en una prioridad para aquellas empresas tecnológicas que prestan servicios a entidades…
30 junio, 2025
En un giro inesperado, pero revelador del dinamismo normativo internacional, la enmienda ISO 14001:2015/DAmd 2 ha sido...
26 junio, 2025
La creciente adopción de sistemas de inteligencia artificial está generando oportunidades sin precedentes. Sin embargo, también plantea riesgos…