La gestión de riesgos es la disciplina que permite a una organización anticiparse a lo que puede salir mal y decidir, con criterio, qué hacer al respecto. No consiste en eliminar la incertidumbre —imposible— sino en convertirla en decisiones informadas: qué riesgos asumir, cuáles transferir y cuáles tratar. El marco de referencia internacional es la norma ISO 31000:2018, que define principios y proceso, complementada por la ISO 22301 para la continuidad de negocio. En esta guía recorremos la identificación, la evaluación, el tratamiento y, sobre todo, cómo se construye un plan de contingencia que de verdad funcione cuando llega el incidente.
ISO 31000: el proceso de gestión del riesgo
La ISO 31000 describe un proceso iterativo con etapas bien definidas: establecer el contexto, identificar los riesgos, analizarlos, evaluarlos, tratarlos, y a lo largo de todo ello comunicar, consultar, monitorizar y revisar. La norma insiste en que la gestión del riesgo debe integrarse en la toma de decisiones de toda la organización, no quedar como un ejercicio anual aislado del departamento de auditoría.
El primer paso, establecer el contexto, define el apetito de riesgo: cuánto riesgo está dispuesta a asumir la dirección a cambio de qué retorno. Sin un apetito de riesgo explícito, la evaluación posterior carece de referencia para decidir qué es tolerable y qué no. Este apetito debe aprobarse al máximo nivel y comunicarse, porque es el criterio que alinea las decisiones de toda la cadena de mando.
Identificación de riesgos: no solo los evidentes
Identificar riesgos exige mirar más allá de lo obvio. Las técnicas habituales combinan talleres estructurados con expertos, análisis de procesos, revisión de incidentes históricos, listas de comprobación sectoriales y análisis de escenarios. Conviene categorizar: riesgos estratégicos (un competidor disruptivo, un cambio regulatorio), operativos (fallo de un proceso crítico, pérdida de un proveedor único), financieros (liquidez, tipo de cambio, morosidad), tecnológicos (ciberataque, caída de sistemas) y de cumplimiento (sanciones por incumplir el RGPD, por ejemplo).
Un error recurrente es detenerse en los riesgos cómodos de nombrar. Los más peligrosos suelen ser los de baja probabilidad y alto impacto —los llamados cisnes negros— y las dependencias ocultas: el proveedor único cuya quiebra paraliza la producción, o el empleado cuya marcha se lleva un conocimiento no documentado. El análisis de impacto en el negocio (BIA) es la herramienta que destapa estas dependencias críticas.
Análisis y evaluación: la matriz de probabilidad e impacto
Cada riesgo identificado se analiza según dos dimensiones: la probabilidad de que se materialice y el impacto si lo hace. El producto de ambos da una exposición que permite priorizar. El instrumento clásico es la matriz de riesgo (mapa de calor), que cruza ambos ejes en una cuadrícula de colores. El análisis puede ser cualitativo (escalas alto/medio/bajo, rápido pero subjetivo) o cuantitativo (probabilidades y pérdidas en euros, más riguroso pero exigente en datos).
Aquí entra una distinción crucial: el riesgo inherente es la exposición antes de cualquier control; el riesgo residual es lo que queda tras aplicar los controles existentes. La evaluación debe trabajar con el residual, porque es el que realmente afronta la organización. Confundir ambos lleva a sobreinvertir en riesgos ya mitigados o, al contrario, a creerse protegido por controles que no funcionan.
Tratamiento del riesgo: las cuatro estrategias
Una vez priorizados, los riesgos se tratan con una de cuatro estrategias. Evitar: no realizar la actividad que genera el riesgo (no entrar en un mercado inestable). Reducir/mitigar: implantar controles que bajen la probabilidad o el impacto (redundancia de sistemas, formación, segregación de funciones). Transferir: ceder el riesgo a un tercero, típicamente mediante un seguro o una cláusula contractual. Aceptar: asumirlo conscientemente cuando el coste de tratarlo supera el beneficio, siempre con la aprobación del nivel correspondiente al apetito de riesgo.
La decisión no es binaria ni permanente. Un riesgo se reduce con controles y se acepta el residual; o se transfiere parte y se mitiga el resto. Lo importante es que cada decisión quede documentada con su responsable (risk owner) y su justificación, en un registro de riesgos vivo que se revisa periódicamente.
Planes de contingencia y continuidad de negocio
El plan de contingencia es lo que la organización ejecuta cuando un riesgo se materializa pese a todo. La ISO 22301, norma de sistemas de gestión de continuidad de negocio, estructura esta capacidad. Sus dos métricas clave son el RTO (Recovery Time Objective), el tiempo máximo tolerable de interrupción de un proceso, y el RPO (Recovery Point Objective), la máxima pérdida de datos admisible medida en tiempo. Un RPO de cuatro horas implica copias de seguridad al menos cada cuatro horas; un RTO de una hora exige sistemas en caliente, no restauración manual desde cinta.
Un plan de continuidad incluye los procedimientos de respuesta, los roles y la cadena de mando del comité de crisis, las ubicaciones y recursos alternativos, las comunicaciones internas y externas, y los criterios de activación y de vuelta a la normalidad. Pero el plan que nunca se ha probado no es un plan, es un documento. Las pruebas —desde el ejercicio de mesa hasta el simulacro completo de conmutación— son las que revelan que el teléfono de contacto está obsoleto o que la copia de seguridad no se podía restaurar.
Indicadores clave de riesgo y monitorización continua
Un riesgo evaluado y archivado es un riesgo que vuelve a sorprender. La gestión madura define indicadores clave de riesgo (KRI, Key Risk Indicators): métricas que actúan como señales tempranas de que la exposición está creciendo antes de que el evento se materialice. Para un riesgo de liquidez, un KRI puede ser el ratio de circulante; para un riesgo de fuga de talento, la tasa de rotación voluntaria; para un riesgo de ciberseguridad, el número de intentos de acceso fallidos o el tiempo medio de aplicación de parches críticos.
Los KRI se diferencian de los KPI en su orientación: el KPI mide rendimiento pasado, el KRI anticipa problemas futuros. A cada KRI se le asigna un umbral de alerta que, al superarse, dispara una revisión del riesgo asociado y, si procede, una acción. Esta monitorización continua es lo que la ISO 31000 entiende por integrar la gestión del riesgo en la operación diaria, en lugar de relegarla a una revisión anual desconectada de las decisiones reales.
La eficacia de los KRI depende de que sean medibles con datos disponibles, relevantes para el riesgo concreto y revisados periódicamente para que sigan siendo significativos. Un cuadro de mando de riesgos que agrega los KRI críticos da a la dirección una visión en tiempo casi real de la salud de su perfil de riesgo, muy lejos del informe estático que se mira una vez al año.
Cultura de riesgo: el factor que no aparece en el registro
Ninguna metodología sobrevive a una cultura que castiga al mensajero. Si reportar un riesgo o un casi-incidente se percibe como admitir un fracaso, los problemas se ocultan hasta que estallan. La cultura de riesgo es el conjunto de valores y comportamientos que determinan cómo se trata la incertidumbre en el día a día, y es tan determinante como cualquier matriz o procedimiento. Una organización con cultura de riesgo sana incentiva el reporte temprano, analiza los errores sin buscar culpables y entiende que asumir riesgos calculados es parte del negocio.
El tono lo marca la dirección. Cuando los líderes piden activamente conocer los riesgos, recompensan la transparencia y toman decisiones coherentes con el apetito declarado, el resto de la organización interioriza que la gestión del riesgo es algo que ayuda, no un trámite burocrático. Las tres líneas de defensa —los gestores operativos que asumen el riesgo, las funciones de control que lo supervisan y la auditoría interna que ofrece aseguramiento independiente— solo funcionan si esa cultura las sostiene. Sin ella, el mejor marco se convierte en papel mojado el día que de verdad importa.
Tabla: estrategias de tratamiento del riesgo
| Estrategia | Acción | Cuándo aplicarla | Ejemplo |
|---|---|---|---|
| Evitar | Eliminar la actividad | Riesgo intolerable y prescindible | No operar en zona sancionada |
| Reducir | Controles preventivos | Riesgo alto pero la actividad es necesaria | Redundancia de servidores |
| Transferir | Seguro o contrato | Impacto alto, baja frecuencia | Ciberseguro, cláusula SLA |
| Aceptar | Asumir el residual | Coste de tratar > beneficio | Riesgo menor dentro del apetito |
Errores comunes en la gestión del riesgo
El primero es tratar el registro de riesgos como un documento de cumplimiento que se actualiza una vez al año y nadie consulta para decidir. El segundo es evaluar el riesgo inherente e ignorar el residual, o al revés, asumir que los controles funcionan sin verificarlo. El tercero es un plan de continuidad sin pruebas: la primera vez que se ejecuta es durante la crisis real. El cuarto es no asignar un risk owner, de modo que el riesgo es de todos y por tanto de nadie. El quinto es confundir probabilidad con frecuencia histórica e infraestimar eventos raros de alto impacto que no han ocurrido todavía.
Preguntas frecuentes
¿En qué se diferencian RTO y RPO? El RTO mide cuánto tiempo puede estar caído un proceso antes de causar un daño inaceptable; el RPO mide cuántos datos puedes permitirte perder. El primero dimensiona la velocidad de recuperación; el segundo, la frecuencia de las copias.
¿Es lo mismo riesgo inherente que residual? No. El inherente es la exposición sin controles; el residual es lo que queda tras aplicarlos. Las decisiones de tratamiento se toman sobre el residual, que es el riesgo real que afronta la organización.
¿Hace falta certificarse en ISO 31000? La ISO 31000 ofrece directrices y no es certificable. La ISO 22301 de continuidad de negocio sí es certificable y suele exigirse en contratos con clientes críticos o en sectores regulados.
¿Con qué frecuencia se revisa el registro de riesgos? De forma continua para los riesgos críticos y, como mínimo, en revisiones periódicas formales (trimestrales o semestrales) y siempre tras cambios relevantes del contexto o incidentes.
Conclusión
La resiliencia empresarial no es cuestión de suerte ni de tamaño, sino de método: un apetito de riesgo explícito, un registro vivo donde cada riesgo tiene dueño y estrategia, una evaluación honesta del riesgo residual y planes de contingencia probados antes de necesitarlos. La diferencia entre las organizaciones que sobreviven a una crisis y las que no rara vez está en la gravedad del evento; está en si el RTO y el RPO se definieron con realismo, en si la copia de seguridad se restauró alguna vez en un simulacro y en si el comité de crisis sabía a quién llamar. La ISO 31000 e ISO 22301 dan la estructura; la disciplina de probar y revisar da los resultados. En Summum Marketing ayudamos a las empresas a construir ese sistema y a someterlo a las pruebas que separan el plan real del documento decorativo.