Proceso de gestión de riesgos ISO 31000: guía práctica para Suiza (2026)

ISO 31000:2018 es la norma internacional de referencia para estructurar la gestión del riesgo en una organización, sea cual sea su sector o tamaño. No es certificable a nivel organizacional y no prescribe un único método operativo: proporciona principios, un marco y un proceso, que deben articularse con las obligaciones sectoriales y regulatorias que aplican a su organización. Esto es precisamente lo que la hace útil: aporta la gramática común que después cada norma especializada, cada regulador y cada marco sectorial declina. Para las organizaciones suizas, esta gramática se cruza ahora con una capa regulatoria densa, la Circular FINMA 2023/01, la Ley sobre la Seguridad de la Información (LSI), la Ley Federal sobre Protección de Datos revisada (revLPD), y por extraterritorialidad europea, DORA y la Ley de IA de la UE. ISO 31000 no reemplaza ninguna de estas obligaciones; ayuda a abordarlas de manera coherente. Este artículo explica el proceso en seis elementos, los ocho principios, las siete opciones de tratamiento, y muestra cómo estos bloques encajan con las obligaciones suizas y europeas a las que sus clientes y auditores hacen referencia.

¿Cuál es la diferencia entre marco, principios y proceso en ISO 31000?

ISO 31000 se organiza en tres capas que es crucial distinguir, para no mezclar conversaciones durante una misión.

• Los 8 principios (artículo 4): la filosofía. Responden a la pregunta «¿qué es una buena gestión del riesgo?». Sirven para arbitrar las decisiones de diseño (qué incluir en el marco, qué técnicas privilegiar, cómo dimensionar el esfuerzo).
• El marco (artículo 5): la infraestructura. Cómo la organización se organiza para hacer vivir la gestión del riesgo en el día a día. Liderazgo y compromiso en el centro, alrededor el ciclo diseño, implementación, evaluación, mejora.
• El proceso (artículo 6): la mecánica. Las etapas operativas que se despliegan para tratar un riesgo o una cartera de riesgos. Es la capa más visible en los entregables, y la menos comprendida cuando se desconecta de las otras dos.

Una organización que se concentra únicamente en el proceso produce un registro de riesgos estético pero desconectado de la estrategia. Una organización que se concentra únicamente en el marco construye una función de riesgo inerte. Las tres capas se alimentan mutuamente: los principios guían el marco, el marco hace vivir el proceso, el proceso produce las evidencias que validan el marco, que a su vez confirma o revisa los principios aplicados.

Los 8 principios ISO 31000 y lo que realmente significan

El artículo 4 enumera ocho principios. Leídos literalmente, parecen una lista de adjetivos amables. Leídos en misión, sirven como criterios de arbitraje cuando el programa se desvía.

Si hay que aislar tres principios para no perderse, son los principios 1, 3 y 7: integrada, adaptada, y factores humanos y culturales. Un programa que los sostiene, los demás siguen. Un programa que los pierde marca los otros en la superficie sin resultado.

El marco ISO 31000: liderazgo en el centro, ciclo PDCA alrededor

El artículo 5 describe el marco. La gran novedad de la edición 2018, respecto a 2009, es haber puesto el liderazgo y el compromiso en el centro. No es un detalle visual: es el reconocimiento de que sin un patrocinador ejecutivo, ningún marco de riesgo sobrevive a los arbitrajes presupuestarios del segundo año.

El diseño cubre la comprensión del contexto interno y externo, la articulación del compromiso de la dirección, la atribución de responsabilidades, la asignación de recursos y la definición de los canales de comunicación y consulta. La implementación despliega estas decisiones. La evaluación mide su desempeño. La mejora es lo que la convierte en un sistema vivo en lugar de un ejercicio anual. Como en toda norma inspirada en el PDCA, la evaluación es la que más problemas plantea en la práctica: las organizaciones saben diseñar e implementar, muchas menos saben medir si su marco de riesgo produce realmente mejores decisiones.

El proceso ISO 31000 paso a paso (artículo 6)

El proceso de gestión del riesgo según ISO 31000:2018 comprende seis elementos, dos de los cuales son continuos y atraviesan a todos los demás. Es el corazón de la consulta proceso de gestión de riesgos ISO 31000, y es también el punto donde la mayoría de los programas en misión se descarrilan por confusión entre etapas secuenciales y etapas transversales.

Alcance, contexto y criterios (artículo 6.3)

Es la etapa más a menudo expedida y la más estructurante. La organización define en ella el perímetro cubierto, el contexto interno (gobernanza, recursos, cultura, partes interesadas internas) y externo (marco legal y regulatorio, partes interesadas externas, mercado, entorno económico), y los criterios de riesgo: lo que desencadena la atención, lo que es tolerable, lo que no lo es. Para los bancos suizos, el contexto externo incluye explícitamente la Circular FINMA 2023/01 y sus exigencias sobre la tolerancia a la disrupción para las funciones críticas. Para los responsables del tratamiento de datos personales, la revLPD entra en los criterios (riesgos para la personalidad y los derechos fundamentales de las personas concernidas).

Identificación del riesgo (artículo 6.4.2)

Identificar los riesgos susceptibles de impedir, retrasar o alterar el logro de los objetivos. Se combinan varias técnicas para no reproducir los puntos ciegos: lluvia de ideas estructurada, entrevistas semi-dirigidas, análisis de escenarios, examen documental (incidentes pasados, auditorías, informes de pruebas de penetración), revisión por pares externos. La norma insiste en que esta etapa no se subcontrata a una herramienta; requiere madurez de juicio y conocimiento fino del contexto de negocio.

Análisis del riesgo (artículo 6.4.3)

Evaluar la probabilidad y las consecuencias de cada riesgo, cualitativa, semicuantitativa o cuantitativamente. ISO 31000 no prescribe ninguna técnica específica y acepta explícitamente los tres enfoques; su norma compañera ISO/IEC 31010:2019 cataloga más de 40 técnicas (AMFE, HAZOP, pajarita, Monte Carlo, Delphi, árboles de sucesos y de fallos, análisis bayesiano, FAIR para el ciber, etc.). La elección de la técnica depende de la madurez de la organización, de la materialidad del riesgo y del contexto de decisión. A partir de un cierto umbral de materialidad frente a un supervisor o un comité de dirección, el mapa de calor cualitativo por sí solo se vuelve difícil de defender: hay que completarlo entonces con estimaciones probabilísticas trazables o pasar a una técnica semicuantitativa o cuantitativa. No es una exigencia de la norma, es una exigencia de defendibilidad frente a la parte interesada que decide.

Evaluación del riesgo (artículo 6.4.4)

Comparar el nivel de riesgo obtenido con los criterios definidos en la etapa de contexto, y decidir qué riesgos pasan al tratamiento, cuáles se conservan tal cual, cuáles requieren investigación adicional. Esta etapa produce la priorización explícita que la dirección debe validar. Sin validación trazable en este momento, el plan de tratamiento aguas abajo pierde su legitimidad.

Tratamiento del riesgo (artículo 6.5): las 7 opciones

El artículo 6.5.2 de ISO 31000:2018 enumera siete opciones de tratamiento. No son excluyentes: un riesgo material se trata a menudo mediante una combinación de dos o tres opciones.

Seguimiento y revisión (artículo 6.6, en continuo)

Actividad transversal que verifica permanentemente que los criterios siguen siendo válidos, que los riesgos no han mutado, y que las medidas producen los efectos esperados. La cadencia varía según la materialidad: revisión mensual o trimestral para los riesgos materiales, semestral para los riesgos secundarios, más toda revisión basada en eventos desencadenada por un incidente, un cambio de contexto (nuevo regulador, fusión, salida de perímetro) o una revisión por la dirección.

Registro y reporte (artículo 6.7)

Trazar las decisiones, las hipótesis, las fuentes de información, los arbitrajes. El reporte debe alimentar la toma de decisiones a los diferentes niveles: operativo, táctico, estratégico. Más allá de un cierto volumen, el registro de riesgos en hoja de cálculo alcanza sus límites en términos de versionado, trazabilidad multiusuario y vinculación con los controles. Existen entonces varias opciones: hacer evolucionar la gobernanza de la hoja de cálculo, pasar a una herramienta GRC generalista, o apoyarse en una plataforma multimarco como acunagrc.ai que integra de forma nativa el vínculo entre riesgos, controles y obligaciones regulatorias. Hoja de cálculo o plataforma, el reto sigue siendo el mismo: que un auditor o un nuevo integrante pueda reconstruir la cadena de decisiones seis meses después.

¿Qué técnica de valoración elegir? ISO 31010 en la práctica

ISO 31000 dice qué hacer para el análisis, ISO/IEC 31010:2019 dice cómo instrumentarlo. Su norma compañera cataloga y describe más de 40 técnicas de valoración. La elección se hace según tres factores: la madurez de la organización (capacidad de producir y explotar datos), la materialidad del riesgo (cuanto mayor el reto, más cuenta la defendibilidad cuantitativa), y la naturaleza del riesgo (ciber, operativo, proyecto, conformidad, ambiental no llaman a las mismas herramientas).

La regla práctica que doy en formación: para los riesgos materiales significativos frente a un supervisor, el mapa de calor 5×5 ya no basta. A partir de ahí, hay que alimentar el mapa de calor con estimaciones probabilísticas precisas y trazables, o bascular hacia una técnica cuantitativa. La elección no es una señal de sofisticación, es una exigencia de defendibilidad.

ISO 31000, ISO 27005, COSO ERM, ISO 31022: ¿qué marco, cuándo?

Los cuatro marcos vuelven con regularidad, a menudo confundidos. Aquí está la lectura del practicante, tal como la explico a los equipos en misión.

En la práctica: ISO 31000 rara vez está solo en una organización madura. Sirve de osamenta común. ISO 27005 se enchufa para la seguridad de la información, COSO ERM para la lectura del consejo, ISO 31022 para el riesgo jurídico. Para las organizaciones bajo doble tutela (grupo estadounidense y entidad europea), articular explícitamente ISO 31000 y COSO ERM en la documentación del marco evita arbitrajes estériles entre la auditoría interna local y el grupo.

ISO 31000 en el contexto regulatorio suizo

Es la capa que cambia la conversación para las organizaciones suizas desde 2024. Varios marcos regulatorios se han añadido o precisado, y todos se cruzan con el tronco ISO 31000.

Circular FINMA 2023/01: riesgos y resiliencia operativos para los bancos

En vigor desde el 1 de enero de 2024, la Circular FINMA 2023/01 reemplaza la 2008/21 y reformula las expectativas del supervisor en materia de gobernanza del riesgo operativo, riesgo TIC, ciberriesgo, BCM, riesgo de terceros y resiliencia operativa (con un período transitorio que se prolonga sobre 2025-2026 para la implementación completa de la resiliencia). Fuente: documentación de las circulares FINMA. Para un banco que ya estructura su enfoque de riesgo sobre ISO 31000, la 23/01 no cambia la arquitectura, añade exigencias específicas: identificación de las funciones críticas, tolerancia a la disrupción documentada, escenarios severos pero plausibles, gobernanza TIC estructurada, cartografía de la cadena de proveedores TIC.

LSI (Ley sobre la Seguridad de la Información) y obligación de notificación cibernética

La LSI introduce, para los operadores de infraestructuras críticas (y las autoridades federales), una obligación de notificación de los incidentes cibernéticos al Centro Nacional para la Ciberseguridad (NCSC, ncsc.admin.ch). Según la comunicación oficial del NCSC, la obligación entró en vigor el 1 de abril de 2025, con un plazo de notificación de 24 horas a contar desde el descubrimiento del incidente, y un período transitorio de seis meses durante el cual no se aplica ninguna sanción (sanciones efectivas a partir del 1 de octubre de 2025). Concretamente, lo que esta ley añade a su programa ISO 31000: un criterio de notificación en los procesos de gestión de incidentes, una cláusula de comunicación y consulta (artículo 6.2 ISO 31000) con el NCSC, y un dispositivo de registro y reporte (artículo 6.7) capaz de producir las notificaciones en los plazos. Las modalidades precisas (ámbito de aplicación, sanciones) están definidas por los textos federales sobre la seguridad de la información accesibles a través de Fedlex.

revLPD: protección de datos y análisis de impacto

La nueva ley federal de protección de datos está en vigor desde el 1 de septiembre de 2023. Tres exigencias principales se articulan con ISO 31000: el análisis de impacto relativo a la protección de datos (AIPD, art. 22) cuando un tratamiento presenta un riesgo elevado; el registro de las actividades de tratamiento; la notificación de violación al Encargado Federal de la Protección de Datos y de la Transparencia (FDPIC, edoeb.admin.ch). Una organización que estructura su programa de riesgo sobre ISO 31000 debe añadir una declinación específica a la protección de datos con sus propios criterios (riesgos para la personalidad y los derechos fundamentales de las personas concernidas). El AIPD no es un subproducto del registro de riesgos: es un entregable identificado, documentado y conservado internamente. Según el resultado del análisis y la naturaleza del tratamiento, puede dar lugar a una consulta previa al FDPIC, en los casos previstos por la ley y sus guías de aplicación.

Extraterritorialidad UE: DORA y la Ley de IA de la UE

Dos regulaciones europeas afectan directamente a las organizaciones suizas que operan en la UE o que colocan sus productos en ella.

DORA (Reglamento (UE) 2022/2554, EUR-Lex) se aplica a las entidades financieras y a sus proveedores TIC desde el 17 de enero de 2025. Cinco pilares: gobernanza del riesgo TIC, gestión de incidentes, pruebas de resiliencia, gestión del riesgo de terceros TIC, intercambio de información. Para una organización suiza expuesta a la UE, DORA y FINMA 23/01 comparten una lógica común de resiliencia operativa y de gestión del riesgo de terceros TIC; los dos marcos siguen siendo jurídicamente distintos y un mismo control no cubre automáticamente las exigencias del otro. Sobre el riesgo de terceros (subcontratistas TIC, datos personales, cadena de suministro NIS 2), una plataforma dedicada como Supplier Shield materializa la evaluación continua que supera la due diligence puntual en la firma.

La Ley de IA de la UE (Reglamento (UE) 2024/1689, EUR-Lex) sigue un calendario escalonado: entrada en vigor el 1 de agosto de 2024, prácticas prohibidas y alfabetización en IA aplicables desde el 2 de febrero de 2025, modelos GPAI y gobernanza desde el 2 de agosto de 2025, y el grueso de las obligaciones sobre los sistemas de IA de alto riesgo desde el 2 de agosto de 2026. Ciertas obligaciones sectoriales aplicables a los sistemas IA de alto riesgo integrados en productos sometidos a otras regulaciones de la UE (anexo I) siguen un calendario distinto, con una fase de aplicación que se extiende hasta el 2 de agosto de 2027. Para las organizaciones suizas que colocan un sistema de IA en el mercado de la UE, el reglamento exige en particular un sistema de gestión del riesgo específico para los sistemas de IA de alto riesgo. ISO/IEC 42001 (publicada a finales de 2023) aporta el sistema de gestión de la IA que se injerta sobre el tronco ISO 31000 y hace ganar tiempo en la conformidad.

Los tres fallos que más veo en misión

Después de treinta años de implementación y auditoría, tres trampas vuelven sea cual sea el sector o el tamaño.

1. El registro de riesgos como teatro de conformidad

El registro existe, está rellenado, está validado, está coloreado con elegancia. Pero ninguna decisión operativa hace referencia a él. El síntoma objetivo: el Comité Ejecutivo no lo consulta antes de arbitrar una inversión importante, un cambio de organización o una entrada en un nuevo mercado. La causa profunda es casi siempre la ausencia de criterios de riesgo articulados con la apetencia (artículo 6.3.4). La corrección: reformular los criterios para que desencadenen decisiones concretas (escalada automática, bloqueo de inversión, validación en el consejo), no solo calificaciones.

2. La función de riesgo aislada de la estrategia

El CRO o el Risk Manager reporta jerárquicamente al CFO, y el riesgo solo aparece en la orden del día del consejo bajo la rúbrica de auditoría. El principio número 1 (integrada) está muerto al nacer. La corrección estructural: incrustar la revisión del registro en el ciclo estratégico anual y trimestral, y reconfigurar el mandato del comité de riesgo para que presente directamente los arbitrajes al consejo, no a través del comité de auditoría.

3. El mapa de calor como religión

La matriz 5×5 sirve en todas partes, incluso allí donde es defensivamente indefendible frente a un supervisor. Un riesgo cibernético cuyo impacto potencial supera la capacidad absoluta de la organización no puede evaluarse en una escala ordinal 1-5. Llama a un modelo cuantitativo (Monte Carlo, FAIR para el ciber, o semicuantitativo trazable). A partir de un cierto umbral de materialidad, ya no es una opción, es una exigencia de defendibilidad regulatoria y de credibilidad estratégica.

Para el aspecto consultoría: Abilene Advisors, el brazo de consultoría GRC del grupo Abilene, acompaña a las organizaciones suizas en la implementación operativa de los programas de riesgo (ISO 31000, ISO 27005, FINMA 23/01, DORA, revLPD). Sitio web: abileneadvisors.ch.

¿Cómo formarse en ISO 31000? La ruta PECB Risk Manager

La certificación no recae sobre la organización sino sobre los practicantes. El esquema de certificación individual más ampliamente reconocido internacionalmente es el del Professional Evaluation and Certification Board (PECB), estructurado en tres niveles.

Para las condiciones exactas (duraciones precisas de examen, puntuación mínima, número de preguntas según la versión activa, requisitos de experiencia para la certificación senior, tarifas), el portal de candidatos PECB es la fuente autoritativa: estos parámetros evolucionan y la versión oficial prevalece sobre cualquier resumen externo.

La formación en Abilene Academy se imparte en español, francés e inglés, en presencial en Morges o Ginebra, en aula virtual, en eLearning o en autoformación. Abilene Academy es el único socio PECB Titanium en Suiza (la más alta distinción PECB), con una tasa de éxito en los exámenes PECB del 99%, más de 2.500 profesionales formados en más de 120 países, y un acompañamiento por formadores practicantes, entre ellos yo mismo en la línea ISO 31000 y la continuidad de negocio.

La mirada del formador: la norma estructura, el juicio decide.

Fuentes y referencias

• ISO 31000:2018 · Gestión del riesgo · Directrices (catálogo ISO, oficial)
• ISO/IEC 31010:2019 · Gestión del riesgo · Técnicas de valoración del riesgo (catálogo ISO, oficial)
• ISO/IEC 42001:2023 · Sistemas de gestión de la IA · Requisitos (catálogo ISO, oficial)
• FINMA · Circulares (Autoridad Federal Suiza de Supervisión de los Mercados Financieros)
• Fedlex · portal de publicaciones legales federales (Confederación Suiza, LSI, revLPD)
• FDPIC · Encargado Federal de la Protección de Datos y de la Transparencia (autoridad suiza, guía revLPD)
• NCSC · Centro Nacional para la Ciberseguridad (autoridad suiza, notificaciones ciber LSI)
• Reglamento (UE) 2022/2554 · DORA (EUR-Lex, texto oficial)
• Reglamento (UE) 2024/1689 · Ley de IA de la UE (EUR-Lex, texto oficial)
• Directiva (UE) 2022/2555 · NIS 2 (EUR-Lex, texto oficial)
• PECB · certificaciones ISO 31000 (portal oficial de certificaciones)
• COSO · Enterprise Risk Management 2017 (marco de gobernanza)