0%
⭐
XP: 0
Aprendiz
00Inicio
01ISO 31000
02Conceptos
03Tratamiento
04Planes
Módulo 1 · Página 1 de 4 · Capital Coalition Risk Management
🏛️ Introducción a los Estándares Internacionales de Riesgo
El lenguaje universal
del riesgo bien gestionado
Tu misión en esta página: Descubrir cómo ISO 31000 actúa como el sistema operativo del riesgo, y cómo ocho marcos internacionales orbitan a su alrededor. Al terminar, obtendrás la insignia 🏛️ Arquitecto del Riesgo.
📋 ISO 31000:2018
🔧 ISO 9001 Cap.6
⛑️ ISO 45001
🌿 ISO 14001
🔄 ISO 22301
📊 COSO ERM 2017
💻 COBIT 2019
🎬 Punto de partida · Antes de continuar, mira esto
Gestionar el Riesgo es
Garantizar el Futuro
Un vistazo al propósito real de ISO 31000 — por qué las organizaciones que gestionan bien el riesgo no solo sobreviven, sino que lideran.
🌐
160+ países
Han adoptado ISO 31000 como estándar nacional de gestión del riesgo
🎯
No es certificable
ISO 31000 es una directriz — la arquitectura intelectual, no un requisito de auditoría
♾️
Universal
Aplica a cualquier sector: finanzas, salud, manufactura, gobierno, tecnología
📖 Capítulo 1 · El problema que ISO 31000 resolvió
Antes de 2009, cada organización hablaba su propio dialecto del riesgo
Imagina el año 2007. Una multinacional tiene: el equipo de finanzas midiendo riesgo de crédito con matrices propias, operaciones usando listas de verificación heredadas de los años 90, la dirección jurídica con su registro de litigios sin conexión con nada, y el área de TI reportando incidentes cibernéticos en otro idioma. Nadie hablaba con nadie.
Cuando llegó la crisis financiera global, miles de organizaciones descubrieron, demasiado tarde, que sus riesgos estaban conectados de formas que nadie había mapeado. El Comité Técnico ISO/TC 262 tomó nota y, en 2009, publicó el primer lenguaje universal del riesgo: ISO 31000.
Norma Central · ISO 31000:2018
ISO 31000 — El estándar que unifica todos los demás
Publicada en 2009, revisada en 2018. No es certificable — es la arquitectura intelectual sobre la que los demás marcos construyen sus requisitos específicos.
🗺️ Tu progreso en esta página — Interactúa con cada sección para desbloquear insignias
📋
ISO 31000
Principios
Principios
🔗
Ecosistema
de marcos
de marcos
📚
Estándares
en detalle
en detalle
🧠
Quiz
final
final
🏆
Insignia
desbloqueada
desbloqueada
—
Última revisión · 3ª edición · Adoptada por más de 160 países
—
Principios fundamentales que debe cumplir todo proceso de GRC
—
Etapas del proceso: Comunicar → Alcance → Identificar → Analizar → Tratar
∞
Sectores aplicables — desde manufactura hasta finanzas, salud y gobierno
Los 8 Principios · Cláusula 4 · ISO 31000:2018
Los 8 principios que gobiernan la gestión del riesgo
💡 Haz clic en cada principio para marcarlo como estudiado y ganar XP
✓
P1
Integrado
La GR es parte integral de las actividades organizacionales — no un proceso paralelo.
✓
P2
Estructurado e integral
Un enfoque exhaustivo contribuye a resultados coherentes y comparables en todos los niveles.
✓
P3
Adaptado al contexto
El marco se adapta al sector, cultura y objetivos estratégicos de cada organización.
✓
P4
Inclusivo
Las partes interesadas participan activamente — sus perspectivas moldean el proceso.
✓
P5
Dinámico
Los riesgos emergen, cambian y desaparecen con el contexto. La GR anticipa esos cambios.
✓
P6
Mejor información disponible
Los inputs se basan en datos históricos y expectativas futuras — reconociendo incertidumbre.
✓
P7
Factores humanos y culturales
Los comportamientos y la cultura influyen significativamente — la percepción determina la respuesta.
✓
P8
Mejora continua
Cada ciclo retroalimenta al siguiente — alineado con el ciclo PHVA de ISO 9001.
0 / 8 principios estudiados
El Proceso · Cláusula 6 · ISO 31000:2018
Las 5 etapas del proceso de gestión del riesgo
👆 Haz clic en cada etapa para expandir su explicación técnica
6.3
Alcance, contexto y criterios
Establece los límites y criterios del proceso de GR...
Define el propósito, alcance y límites del proceso. Analiza contexto externo (PESTEL) e interno. Establece criterios de riesgo: apetito, tolerancia y capacidad. Sin esta etapa, todo lo demás es subjetivo.
ISO 31000 § 6.3 · Enlaza con ISO 9001 § 4.1 · ISO 45001 § 4.1
6.4
Evaluación del riesgo
Identificación, análisis y valoración — el núcleo del proceso...
6.4.2 Identificación (¿qué puede ocurrir?), 6.4.3 Análisis (probabilidad e impacto) y 6.4.4 Valoración (priorización contra criterios). Produce el Risk Register jerarquizado.
ISO 31000 § 6.4.2–6.4.4 · Alimenta COSO ERM Componente 2
6.5
Tratamiento del riesgo
Evitar, reducir, compartir o retener — selección de respuestas...
Opciones: Evitar, Reducir, Compartir (transferir vía seguros), Retener (aceptar). Cada opción genera un Plan de Tratamiento con propietario, plazo, recursos y KPIs.
ISO 31000 § 6.5 · ISO 22301 BIA · COSO ERM Componente 3
6.6
Seguimiento y revisión
KRIs, cadencia de monitoreo y detección de cambios...
Monitorea la efectividad de controles mediante KRIs. Detecta cambios de contexto. Informa con cadencia: operativa (mensual), táctica (trimestral), estratégica (anual).
ISO 31000 § 6.6 · COBIT APO12 · COSO Componente 5
6.7
Registro y reporte
Risk Register, trazabilidad y reportes a la Alta Dirección...
Documenta el proceso en el Risk Register. Genera reportes para Alta Dirección y partes interesadas externas. La trazabilidad es requisito explícito de ISO 9001, 45001 y 14001.
ISO 31000 § 6.7 · Requisito transversal ISO 9001/45001/14001
📖 Capítulo 2 · El ecosistema — cómo todo encaja
ISO 31000 no reemplaza a los demás marcos: los gobierna
Piensa en ISO 31000 como el sistema operativo de un ordenador. No hace nada visible por sí solo — pero sin él, ninguna aplicación funciona bien. ISO 9001, ISO 45001, ISO 14001, COSO ERM, COBIT: cada uno es una aplicación especializada. Todas comparten el mismo "kernel" de principios y proceso.
El secreto que descubrió el Annex SL en 2012 fue brillante en su simplicidad: si todos los sistemas de gestión ISO comparten la misma estructura de 10 cláusulas, una organización puede implementar cuatro normas con el esfuerzo de una y media. La cláusula § 6 de todas ellas dice, en esencia, lo mismo: "gestiona los riesgos que afectan tus objetivos."
Visión Ejecutiva · Ecosistema Integrado
El ecosistema de marcos: ISO 31000 en el centro
Ningún estándar opera en aislamiento. Conocer sus intersecciones elimina duplicidades y maximiza el retorno de cada implementación. Haz clic en cada tarjeta para abrir su detalle.
Eje central del ecosistema
🏛️ ISO 31000:2018 — Gestión del Riesgo
Principios universales + Marco de referencia + Proceso iterativo. Compatible con todos los sistemas de gestión ISO (Estructura de Alto Nivel — Annex SL).
+15 XP
🔧
ISO 9001:2015
Sistemas de Gestión de Calidad
Cláusula 6.1: Pensamiento basado en riesgo como columna vertebral del SGC.
+15 XP
⛑️
ISO 45001:2018
Seguridad y Salud en el Trabajo
Jerarquía de controles obligatoria. Riesgos SST con peligro real de lesiones.
+15 XP
🌿
ISO 14001:2015
Gestión Ambiental
Aspectos ambientales significativos con consecuencias legales y reputacionales.
+15 XP
🔄
ISO 22301:2019
Continuidad de Negocio
El estándar de los planes de contingencia: BIA, BCP, DRP, RTO/RPO.
+15 XP
📊
COSO ERM 2017
Enterprise Risk Management
5 componentes, 20 principios. Integración estrategia-riesgo. Referencia SOX.
+15 XP
💻
COBIT 2019
Gobierno de TI
APO12: gestión del riesgo TI alineada con ISO 31000. ISACA / CRISC.
+15 XP
🏗️
GRC Framework
Gobierno, Riesgo y Cumplimiento
OCEG Principled Performance: la disciplina que integra todo en una sola plataforma.
+15 XP
🎯
ERM
Gestión Integral de Riesgos
Gestión holística a nivel de portfolio. El CRO lidera. Visión consolidada al Consejo.
+15 XP
🔒
ISO 27001:2022
Seguridad de la Información
§ 6.1.2 + Anexo A: 93 controles. El único ISO de riesgo certificable y específico.
Visión Ejecutiva · Comparativa
¿Qué aporta cada marco y a quién le corresponde?
| Marco | Tipo | Foco principal | Cláusula de riesgo | Certif. | Propietario típico |
|---|---|---|---|---|---|
| ISO 31000:2018 | Directriz | Principios + Proceso universal GR | § 6 (Proceso completo) | No | Comité de Riesgos / CRO |
| ISO 9001:2015 | Requisito | Calidad + riesgos que afectan objetivos | § 6.1 Riesgos y oportunidades | Sí | Responsable Calidad / COO |
| ISO 45001:2018 | Requisito | Peligros y riesgos SST | § 6.1.2 Identificación peligros | Sí | HSQE Manager / SSOMA |
| ISO 14001:2015 | Requisito | Aspectos e impactos ambientales | § 6.1.2 Aspectos ambientales | Sí | Gerente Ambiental / HSE |
| ISO 22301:2019 | Requisito | Continuidad · BCP/DRP · RTO/RPO | § 8.2 BIA + § 8.4 Planes | Sí | BCM Manager / COO |
| COSO ERM 2017 | Marco | Riesgo estratégico + gobierno corporativo | 5 componentes, 20 principios | No | CRO / CFO / Junta |
| COBIT 2019 | Marco | Gobierno y riesgo TI | APO12 Gestión del Riesgo | Sí (CRISC) | CIO / CISO / Auditoría TI |
| GRC (OCEG) | Disciplina | Gobierno + Riesgo + Compliance integrado | GRC Capability Model | No | CRO / CCO / CEO |
| ISO 27001:2022 | Requisito | Riesgos de seguridad de la información | § 6.1.2 + Anexo A (93 controles) | Sí | CISO / Seguridad TI |
🔗 Clave de articulación · Annex SL / Estructura de Alto Nivel
El secreto de la integración:
todos comparten la misma arquitectura
En 2012, ISO adoptó la Estructura de Alto Nivel (Annex SL) para todos los sistemas de gestión. Significa que ISO 9001, ISO 45001, ISO 14001 e ISO 27001 tienen la misma estructura de 10 cláusulas — y todas incluyen la cláusula 6: "Planificación para abordar riesgos y oportunidades". Una organización que ya gestiona el riesgo con ISO 31000 puede implementar cualquiera de estos sistemas con el 60% del trabajo ya hecho.
Profundización técnica · Estándares individuales
Cada estándar: qué exige, cómo se articula y cómo implementarlo
Despliega cada norma. Cada acordeón que abras suma +20 XP a tu perfil de aprendizaje.
🔧
ISO 9001:2015 — Calidad
Capítulo 6.1: Acciones para abordar riesgos y oportunidades
Certificable · Estructura de Alto Nivel · 1,1M+ empresas certificadas globalmente
+20 XP
+
ISO 9001:2015 introdujo el "pensamiento basado en riesgo" como columna vertebral del sistema de gestión de calidad. El proceso de evaluación no está prescrito — las organizaciones usan ISO 31000 como metodología subyacente.
📋 Cláusula 6.1: "La organización debe planificar las acciones para abordar estos riesgos y oportunidades [...] e integrarlas en los procesos de su sistema de gestión de calidad."
§ 4.1
Contexto externo e interno
§ 4.2
Partes interesadas
§ 6.1
Riesgos y oportunidades ★
§ 9.1
Seguimiento y medición
§ 10.2
No conformidad y AC
🔵 Riesgos (efectos negativos)
Fallas de proveedor · Cambios regulatorios · Obsolescencia tecnológica · Pérdida de competencias clave🟢 Oportunidades (efectos positivos)
Nuevos mercados · Adopción tecnológica · Cambio regulatorio favorable · Alianzas con proveedores certificados🔗 Articulación ISO 9001 ↔ ISO 31000: El Risk Register de ISO 31000 satisface el requisito de "determinar los riesgos" de ISO 9001 y, además, sirve para auditorías de certificación.
⛑️
ISO 45001:2018 — SST
§ 6.1.2: Identificación de peligros y evaluación de riesgos SST
Certificable · Reemplazó OHSAS 18001 · Jerarquía de controles obligatoria
+20 XP
+
ISO 45001 trabaja con peligros que pueden resultar en lesiones, enfermedades o muertes. Su evaluación de riesgos es la más estructurada de todos los sistemas de gestión ISO.
⚠️ Distinción clave: Diferencia entre peligros (fuente de daño: máquina, sustancia) y riesgos (probabilidad × severidad del daño). Esta distinción no existe en ISO 9001.
Jerarquía de controles SST (obligatoria § 8.1.2)
- 1. Eliminación: Suprimir el peligro del proceso — máxima eficacia.
- 2. Sustitución: Reemplazar el peligro por algo menos peligroso.
- 3. Controles de ingeniería: Guardas de seguridad, ventilación forzada.
- 4. Controles administrativos: Procedimientos, permisos de trabajo, capacitación.
- 5. EPP (mínima eficacia): Solo cuando las 4 anteriores no son suficientes.
🚨 § 8.2 — Planes de emergencia: Requiere establecer, implementar y mantener procesos para prepararse ante situaciones de emergencia. Simulacros periódicos son requisito explícito.
🌿
ISO 14001:2015 — Ambiental
§ 6.1.2: Aspectos ambientales significativos y riesgos de cumplimiento
Certificable · Estructura de Alto Nivel · Requisito § 8.2 para contingencias ambientales
+20 XP
+
ISO 14001 introduce el concepto de "aspectos ambientales significativos" — actividades que pueden interactuar con el medio ambiente. La evaluación de significancia es esencialmente una evaluación de riesgo con consecuencias legales, financieras y reputacionales.
🟢 Condiciones normales
Emisiones rutinarias · Aguas residuales tratadas · Consumo energético · Residuos sólidos🔴 Emergencias ambientales
Derrames accidentales · Emisiones fugitivas · Incendio con impacto ambiental · Fallo de tratamientoPlanes de contingencia ambiental (§ 8.2)
- Plan de respuesta a derrames: Kit de contención, protocolo de notificación a autoridades
- Comunicación de emergencia: Plazos legales: 24h–72h según jurisdicción
- Remediación post-emergencia: Plan de limpieza, registro de costos, pasivo ambiental
- Simulacros: Al menos 1/año para el escenario de mayor significancia
🔄
ISO 22301:2019 — Continuidad de Negocio
BIA + BCP + DRP: El estándar de los planes de contingencia
Certificable · BCM · RTO · RPO · Crisis Management
+20 XP
+
📌 ISO 31000 vs ISO 22301: ISO 31000 gestiona el riesgo ANTES (prevención). ISO 22301 diseña la respuesta para CUANDO ocurre (continuidad y recuperación). Son complementarios.
BIA — Business Impact Analysis
Analiza el impacto de una interrupción sobre cada proceso. Determina MTPD, RTO y RPO por proceso crítico.BCP — Business Continuity Plan
Cómo la organización seguirá operando. Cubre personas, procesos, tecnología, proveedores e instalaciones alternativas.DRP — Disaster Recovery Plan
Recuperación de sistemas TI y datos. Procedimientos de restauración, backups y comunicaciones.RTO / RPO
RTO: tiempo máximo aceptable para restaurar. RPO: pérdida máxima aceptable de datos medida en tiempo.Flujo del plan de contingencia
1
Análisis de riesgos de continuidad
Identificar escenarios disruptivos: desastre natural, ciberataque, pandemia, fallo de proveedor crítico.
ISO 22301 § 8.2 · ISO 31000 § 6.4
2
Business Impact Analysis (BIA)
Mapear procesos críticos, dependencias, MTPD, RTO y RPO. Validar con propietarios de proceso.
ISO 22301 § 8.2.2
3
Estrategias de continuidad
Sitio alternativo, trabajo remoto, proveedor alternativo, stock de emergencia. Costo vs. RTO requerido.
ISO 22301 § 8.3
4
Desarrollo BCP / DRP / Plan de Crisis
Documentar: activación, árbol de notificación, acciones por rol, procedimientos de recuperación.
ISO 22301 § 8.4
5
Ejercicios y mejora continua
Tabletop, funcionales, full-scale. Al menos 1 ejercicio completo/año. Hallazgos → actualización del plan.
ISO 22301 § 8.5
📊
COSO ERM 2017
Integración de Estrategia, Desempeño y Riesgo
Marco no certificable · 5 componentes · 20 principios · Referencia SOX
+20 XP
+
📊 COSO vs ISO 31000: ISO 31000 describe el PROCESO. COSO ERM integra el riesgo en la ESTRATEGIA y el desempeño — exige que el Consejo lidere activamente el programa.
Los 5 componentes de COSO ERM 2017
- 1. Gobierno y Cultura: El Consejo supervisa la estrategia de riesgo. Define el apetito de riesgo. La cultura permea toda la organización.
- 2. Estrategia y Objetivos: La estrategia se analiza en función del apetito de riesgo. Los objetivos son el punto de partida para identificar riesgos.
- 3. Desempeño: Identificar, evaluar y priorizar riesgos. Evaluar riesgo inherente y residual. Comunicar a la Alta Dirección.
- 4. Revisión y Actualización: Revisar desempeño y cambios de contexto. ERM dinámico por diseño.
- 5. Información, Comunicación y Reporte: Sistemas robustos. Reporte integrado al Consejo con perspectiva de riesgo.
⚡ COSO y SOX: La Ley Sarbanes-Oxley (§§ 302 y 404) requiere que directivos de empresas cotizadas certifiquen la efectividad del control interno. COSO ERM es el estándar de facto para demostrar cumplimiento SOX.
💻
COBIT 2019
APO12: Gestión del Riesgo de TI
ISACA · CRISC · PCI-DSS · GDPR · ISO 27001
+20 XP
+
COBIT APO12 es el dominio de gestión del riesgo TI directamente alineado con ISO 31000. Seis prácticas: Recopilar datos → Analizar → Mantener perfil → Articular → Portfolio de acciones → Responder.
- Riesgo de entrega: Indisponibilidad de sistemas, brechas de capacidad
- Riesgo de valor: Proyectos TI que no entregan retorno esperado
- Riesgo de información: Confidencialidad, integridad y disponibilidad de datos
- Riesgo de cumplimiento TI: GDPR, PCI-DSS, HIPAA, SWIFT
🔗 COBIT ↔ ISO 31000 ↔ ISO 27001: APO12 implementa metodológicamente la § 6.4 de ISO 31000 aplicada al dominio TI. El resultado alimenta el SGSI de ISO 27001.
🏗️
GRC — Gobierno, Riesgo y Cumplimiento
La disciplina integradora: cómo todo converge
OCEG · Principled Performance · Plataformas ServiceNow · MetricStream · Archer
+20 XP
+
🏗️ El problema que GRC resuelve: Una empresa típica tiene ISO 9001, ISO 45001, ISO 14001, GDPR, regulaciones sectoriales y auditoría interna — todos con listas de riesgos separadas. GRC crea una visión única del riesgo organizacional.
G — Gobierno
Junta Directiva · Política de riesgos · Delegación de autoridad · Código de éticaR — Riesgo
Risk Register unificado · ISO 31000 · Apetito y tolerancia · KRIs · ERM transversalC — Compliance
Obligaciones legales · Evaluación de brechas · Auditoría interna · Canal ético · Matriz regulatoriaPlataformas GRC líderes
- ServiceNow GRC: Líder Gartner. Integra riesgo, cumplimiento, auditoría y privacidad.
- MetricStream: Fuerte en sectores financiero y farmacéutico. 50+ marcos regulatorios.
- Archer (RSA): Veterano del mercado. Banca y seguros. Riesgos operacionales y tecnológicos.
🎯
ERM — Enterprise Risk Management
Gestión holística de todos los riesgos organizacionales
Disciplina · CRO · Portfolio de riesgos · Visión integrada · Junta Directiva
+20 XP
+
🚫 Sin ERM (gestión siloed)
Finanzas, Operaciones y TI gestionan sus riesgos por separado. Sin lenguaje común. Puntos ciegos. Sin visión del riesgo agregado.✅ Con ERM
Risk Register único. Apetito definido por la Junta. CRO transfuncional. Dashboard ejecutivo integrado. Correlaciones visibles.El rol del CRO (Chief Risk Officer)
- Estratégico: Propone el apetito de riesgo al Consejo. Asesora en M&A y nuevos productos.
- Operativo: Lidera el equipo de GR. Aprueba metodología y herramientas.
- Reporte: Reporta al Comité de Auditoría y Riesgos del Consejo — línea de reporte dual (CEO + Consejo).
🔒
ISO 27001:2022 — Seguridad de la Información
§ 6.1.2: Evaluación de riesgos SI + Anexo A (93 controles)
Certificable · SGSI · GDPR · PCI-DSS · Más auditado en ciberseguridad
+20 XP
+
El único sistema de gestión de riesgo certificable con controles técnicos específicos. Su Anexo A provee 93 controles organizados en 4 categorías temáticas.
A5 · Organizacionales (37)
Políticas SI · Control de acceso · Gestión de proveedores · Respuesta a incidentesA6 · Personas (8)
Selección de personal · Capacitación · Acuerdos de confidencialidad · Baja de empleadosA7 · Físicos (14)
Control de acceso físico · Protección de equipos · Escritorio y pantalla limpiosA8 · Tecnológicos (34)
Vulnerabilidades · Cifrado · Seguridad de redes · Penetration testing · Monitoreo🔗 ISO 27001 ↔ ISO 31000 ↔ COBIT ↔ GRC: § 6.1.2 implementa la cláusula 6.4 de ISO 31000 aplicada a activos de información. Para cumplir GDPR, el DPIA usa la misma metodología.
"La organización que implementa ISO 9001, 45001, 14001 y 22301 de forma integrada no tiene cuatro sistemas de gestión — tiene uno solo, con cuatro lentes que examinan el mismo riesgo desde cuatro dimensiones diferentes."
— IAF · International Accreditation Forum · Directrices de implementación integrada · Annex SL
Sistema de Logros · Gamificación
Tus insignias de aprendizaje
Completa cada sección para desbloquear insignias. Interactúa con el contenido y responde el quiz para ganarlas todas.
🎬
Iniciado
🔒
📋
8 Principios
🔒
🔗
Ecosistema
🔒
📚
Estándares
🔒
🧠
Quiz Master
🔒
🏛️
Arquitecto del Riesgo
🔒
Quiz Final · +50 XP por pregunta correcta
Demuestra lo que aprendiste
5 preguntas sobre el ecosistema de estándares. Responde correctamente para desbloquear la insignia 🏛️ Arquitecto del Riesgo.
‹ Inicio
Siguiente: Conceptualización del Riesgo
Página 2 de 4 · R=P×I×V · Mapa de calor · 7 tipos de riesgo
Siguiente Página ›
Aprendí que la ISO crea un lenguaje común para gestionar riesgos en toda la organización, para que todas las áreas analicen los riesgos con los mismos principios y procesos.
El blog es muy bueno ya que nos muestra que gestionar los riesgos ayuda a prevenir problemas y tomar mejores decisiones. Además, la norma ISO 31000 orienta a las empresas a controlar los riesgos de forma organizada y mejorar continuamente para lograr sus objetivos.