Registre de riscos, matriu de calor i tractament en 3 segons.
ISO 31000:2018 és el marc internacional de gestió de riscos que sustenta els requisits de riscos de ISO 9001, ISO 14001, ISO 45001 i ISO 27001. IgeraIndustria fa consultable cada clàusula: identificació, avaluació, tractament, apetit al risc i matrius de calor. El responsable de riscos troba la resposta en segons.
ISO 31000: el marc de riscos més referenciat i el menys implementat amb rigor
Totes les normes de sistemes de gestió remeten a ISO 31000 per als requisits de riscos. Tot i això, la majoria de les empreses tenen registres de riscos desactualitzats, matrius de calor sense calibrar i plans de tractament sense seguiment. El resultat: riscos coneguts que es materialitzen sense haver estat tractats.
3 capes
Principis, Marc i Procés: l'estructura d'ISO 31000:2018 que moltes organitzacions confonen o implementen de forma incompleta.
Cl. 6.4
Avaluació del risc: identificació, anàlisi i valoració. Les tres subfases que generen la major part dels gaps en auditories internes de riscos.
Cl. 6.5
Tractament del risc: 4 opcions (mitigar/transferir/acceptar/evitar). El 60% de les empreses només aplica una opció a la pràctica.
4 normes
ISO 9001, 14001, 45001 i ISO 27001 remeten al procés de riscos d'ISO 31000. Un únic marc integrat evita duplicar esforços.
El responsable de riscos dedica hores a buscar què requereix exactament cada fase del procés ISO 31000, com construir l\'escala de probabilitat i impacte, o quina diferència hi ha entre risc inherent i residual. IgeraIndustria respon aquestes preguntes en segons, amb cita exacta de la clàusula, perquè l\'equip es concentri en gestionar riscos reals en lloc d\'interpretar la norma.
Consulta ISO 31000 instantània per fase del procés
IgeraIndustria localitza la clàusula exacta que aplica a cada pregunta sobre gestió de riscos i respon amb els requisits, la metodologia recomanada i els errors més frequènts en implementacions d\'ISO 31000.
Establiment del context (cl. 6.3)
Context extern i intern que determina l'abast i els criteris de risc de l'organització. IgeraIndustria explica quins factors s'han de considerar, com documentar el context i com els criteris de risc condicionen l'escala de la matriu de calor.
Identificació de riscos (cl. 6.4.2)
Tècniques d'identificació: pluja d'idees, anàlisi PESTLE, llistes de comprovació per sector, entrevistes amb propietaris de processos i anàlisi d'incidents històrics. Com documentar causes, esdeveniments i conseqüències per a cada risc identificat.
Anàlisi i valoració del risc (cl. 6.4.3 i 6.4.4)
Diferència entre anàlisi qualitativa, semi-quantitativa i quantitativa. Com construir l'escala de probabilitat i impacte, calcular el nivell de risc inherent i residual, i posicionar cada risc a la matriu de calor.
Tractament del risc (cl. 6.5)
Les 4 opcions de tractament: evitar, mitigar, transferir i acceptar. Com seleccionar l'opció més apropiada segons el nivell de risc residual vs. l'apetit al risc. Estructura del pla de tractament amb acció, responsable, termini i KPI d'eficàcia.
Comunicació i consulta (cl. 6.2)
Requisits de comunicació amb parts interessades al llarg de tot el procés. Com integrar la comunicació de riscos als òrgans de govern, com reportar el perfil de risc a l'alta direcció i com documentar les decisions d'acceptació de risc.
Seguiment i revisió (cl. 6.6)
Freqüència i mecanismes de revisió del registre de riscos. Indicadors d'efectivitat dels controls, actualització del risc residual després de la implementació de tractaments i revisió periòdica de l'apetit al risc per l'alta direcció.
Suport complet al procés de gestió de riscos ISO 31000
Des de la construcció del registre de riscos fins a la revisió de l\'apetit al risc per l\'alta direcció, IgeraIndustria proporciona suport en cada fase del cicle de gestió de riscos conforme a ISO 31000:2018.
Construcció del registre de riscos
Estructura del registre conforme a ISO 31000: columnes obligatòries, escales de probabilitat i impacte, càlcul del nivell de risc inherent i residual, opcions de tractament i estat dels plans d'acció. IgeraIndustria genera plantilles adaptades al sector industrial.
Disseny i calibració de la matriu de calor
Com definir les escales de la matriu de calor segons el context i l'apetit al risc de l'organització. Llindars de color (verd/groc/taronja/vermell), com posicionar els riscos i com presentar el mapa de calor a l'alta direcció.
Definició de l'apetit i la tolerància al risc
Diferència entre apetit al risc (nivell que l'organització accepta deliberadament) i tolerància al risc (variació acceptable al voltant de l'apetit). Com documentar l'apetit per categoria i comunicar-lo als propietaris de risc.
Plans de tractament amb seguiment
Estructura de plans de tractament que satisfan ISO 31000 clàusula 6.5.3: descripció de l'acció, opció de tractament, responsable, termini, cost estimat, risc residual esperat després de la implementació i KPI de verificació d'eficàcia.
Integració amb ISO 9001 / 14001 / 45001 / 27001
Mapatge dels requisits de riscos de cada norma de sistemes de gestió amb les clàusules d'ISO 31000. Com construir un registre únic que serveixi per a totes les normes i un procés de valoració compartit que eviti duplicar esforços.
Reporting de riscos a l'alta direcció
Estructura de l'informe de riscos per a l'alta direcció: resum executiu del perfil de risc, top 10 riscos crítics, estat dels plans de tractament, variacions del risc residual respecte al trimestre anterior i recomanacions d'acció.
Les 4 clàusules clau d\'ISO 31000:2018
Aquestes clàusules concentren la major part de les preguntes pràctiques en implementacions d\'ISO 31000. IgeraIndustria les explica amb els requisits exactes, metodologies aplicables i els errors més habituals en empreses industrials.
6.3 — Establiment de l'abast, context i criteris
La base del procés de riscos. L'organització ha de definir l'abast del procés (quines àrees, processos o projectes inclou?), el context extern i intern (factors que poden influir en els riscos) i els criteris de risc (com es mesuraran la probabilitat i l'impacte). Els criteris de risc són el fonament de la matriu de calor: sense criteris ben definits, la valoració del risc és subjectiva i inconsistent. IgeraIndustria explica com calibrar els criteris perquè la matriu reflecteixi la realitat del sector industrial.
6.4 — Avaluació del risc (identificació, anàlisi i valoració)
El procés central d'ISO 31000 té tres subfases: (1) Identificació: què pot ocurrir, com i per què (fonts de risc, esdeveniments, causes i conseqüències). (2) Anàlisi: determinar la probabilitat i l'impacte de cada risc amb els controls existents per obtenir el risc residual. (3) Valoració: comparar el risc residual amb els criteris de risc per decidir si requereix tractament. Aquesta seqüència és la que genera el registre de riscos i alimenta la matriu de calor. Les organitzacions que fusionen les tres subfases produeixen registres inconsistents que els auditors rebutgen.
6.5 — Tractament del risc
Un cop valorat el risc, l'organització ha de seleccionar l'opció de tractament més apropiada entre les quatre que estableix la norma: evitar, mitigar, transferir o acceptar. L'elecció ha de ser proporcional al nivell de risc i a l'apetit definit. El pla de tractament (6.5.3) documenta l'acció, el responsable, el termini, el cost i el nivell de risc residual esperat després de la implementació. IgeraIndustria pot explicar quina opció és més adequada per a cada categoria de risc i com redactar plans de tractament que superin una auditoria.
6.6 — Seguiment, revisió, registre i informe
ISO 31000 exigeix que el procés de risc sigui continu: els riscos canvien amb el context, els controls poden perdre eficàcia i nous riscos emergeixen. La clàusula 6.6 estableix que l'organització ha de monitorar els riscos i controls de forma contínua, revisar el registre periòdicament, registrar els resultats del procés i reportar a l'alta direcció. La freqüència de revisió ha de ser proporcional a la dinàmica de l'entorn: en sectors industrials d'alta volatilitat, la revisió trimestral és la pràctica habitual.
Com funciona IgeraIndustria per a ISO 31000
Cinc passos des de la càrrega del sistema de gestió de riscos fins a la resposta amb clàusula exacta, metodologia aplicable i recomanació de tractament.
Indexes la teva documentació de gestió de riscos
Puges el teu registre de riscos, política de riscos, matrius de calor, plans de tractament, actes de comitè de riscos i informes de seguiment. IgeraIndustria els processa juntament amb la norma ISO 31000:2018 completa en menys de 24 hores.
Connectes l'assistent a l'equip de riscos
Embed al portal corporatiu, Teams, Slack o com a bot de WhatsApp per a l'equip directiu. Una línia de codi. Compatible amb qualsevol eina de gestió documental o GRC.
El responsable de riscos pregunta en llenguatge natural
«Com calculo el risc inherent d'un proveidor crític?», «Quines opcions de tractament apliquen a un risc de nivell 20 a la matriu?», «Amb quina freqüència he de revisar el registre de riscos segons ISO 31000?»
IgeraIndustria cerca en 2 capes de coneixement
Primer a la teva documentació interna (registre de riscos, plans de tractament, informes de seguiment), després a la norma ISO 31000:2018 indexada amb totes les seves clàusules i els requisits del procés de gestió de riscos.
Resposta amb clàusula, metodologia i recomanació d'acció
La resposta cita la clàusula ISO 31000 aplicable, indica la metodologia recomanada per al cas concret (qualitativa, semi-quantitativa o quantitativa), i proporciona una recomanació de tractament basada en el context de l'organització.
IgeraIndustria en acció — tractament de risc alt (ISO 31000 cl. 6.5.2)
Consulta sobre tractament d\'un risc d\'alta probabilitat i impacte resolta en menys de 3 segons amb les opcions d\'ISO 31000 i recomanació pràctica.
Responsable de Riscos
Tenim un risc de fallada de proveidor crític amb probabilitat 4 i impacte 5 (nivell 20 a la nostra matriu 5x5). Quines opcions de tractament estableix ISO 31000 i quina recomanes?
IgeraIndustria
ISO 31000:2018 — Clàusula 6.5.2 Selecció d\'opcions de tractament
Un risc de nivell 20/25 supera qualsevol llindar d\'apetit estàndard. ISO 31000 estableix 4 opcions (cl. 6.5.2); per a aquest nivell són vàlides:
- • Mitigar: duplicar proveïdors, contractes amb penalitzacions, estoc de seguretat
- • Transferir: assegurança d\'interrupció de negoci, SLAs contractuals amb indemnització
- • Evitar: redissenyar el procés per eliminar la dependència del proveidor
- • Acceptar: NO recomanat — el risc residual superaria l\'apetit definit
⚠️ Documenta l\'opció triada al pla de tractament (cl. 6.5.3) amb responsable i termini
✓ ISO 31000:2018 Clàusula 6.5.2 · Confiança: 99,4%
500
empleats empresa manufacturera
-40%
temps avaluació de riscos
0
incidents no anticipats en 12 mesos
Teníem un registre de riscos de 80 línies en Excel que ningú mirava entre revisions anuals. Amb IgeraIndustria, l\'equip de riscos pot consultar quina clàusula d\'ISO 31000 aplica a cada decisió, com calibrar la matriu de calor i quines opcions de tractament són apropiades per a cada nivell. Hem reduït el temps d\'avaluació un 40% i portem 12 mesos sense cap incident que no hagués estat identificat i tractat al registre de riscos.
*Testimoni representatiu basat en resultats de clients reals
Preguntes freqüents — ISO 31000:2018
Quina és la diferència entre ISO 31000 i ISO 9001 clàusula 6.1?
ISO 9001:2015 clàusula 6.1 exigeix un «pensament basat en riscos» aplicat al sistema de gestió de qualitat: l'organització ha d'identificar riscos que puguin afectar la conformitat de productes i serveis i planificar accions per abordar-los, però no requereix un marc formal ni metodologia específica. ISO 31000:2018, en canvi, és una norma dedicada exclusivament a la gestió de riscos i proporciona els principis, el marc i el procés complet: des de l'establiment del context fins a la comunicació i el seguiment. ISO 31000 és la referència que les organitzacions fan servir per donar substància al requisit de ISO 9001 clàusula 6.1, així com als requisits equivalents de ISO 14001, ISO 45001 i ISO 27001. No són normes certificables l'una en lloc de l'altra; són complementaries.
Com es construeix un registre de riscos conforme a ISO 31000?
El registre de riscos és el document central del procés ISO 31000. Segons la norma (clàusula 6.4 i 6.5), cada entrada del registre ha d'incloure: (1) identificació del risc amb descripció de l'esdeveniment i les seves causes; (2) categoria de risc (estratègic, operatiu, financer, de compliment, reputacional); (3) probabilitat d'ocurrència en escala definida (ex. 1–5 o percentatge); (4) impacte en escala definida (1–5); (5) nivell de risc inherent (probabilitat × impacte abans de controls); (6) controls existents; (7) nivell de risc residual (després de controls); (8) opció de tractament triada (mitigar/transferir/acceptar/evitar); (9) acció de tractament amb responsable i termini; (10) estat. IgeraIndustria pot generar l'estructura del registre i emplenar les entrades a partir dels documents de context de l'organització.
Què és l'apetit al risc i com es defineix?
L'apetit al risc és el nivell de risc que l'organització està disposada a acceptar per assolir els seus objectius (ISO 31000:2018, clàusula 6.3.1). No és un número únic: es defineix per categoria de risc i nivell jerarqúic. Per exemple, una empresa pot tenir apetit zero per a riscos de seguretat laboral (qualsevol risc de nivell 3 o superior requereix acció immediata) però un apetit moderat per a riscos comercials (accepta riscos de nivell 3 si el retorn esperat ho justifica). La definició de l'apetit al risc és responsabilitat de l'alta direcció (clàusula 5.4) i ha de ser comunicada a tota l'organització. S'expressa habitualment com a llindars a la matriu de calor: les cel·les de color vermell són riscos que superen l'apetit i requereixen acció obligatòria.
Com funciona la matriu de calor en ISO 31000?
La matriu de calor (heat map) és l'eina de visualització del risc inherent o residual més utilitzada en implementacions ISO 31000. Es construeix amb la probabilitat en un eix (habitualment 1–5, de rar a gairebé segur) i l'impacte en l'altre (1–5, d'insignificant a catastrofic). El resultat (probabilitat × impacte) genera una puntuació d'1 a 25 que es visualitza amb colors: verd (1–4, risc baix), groc (5–9, risc moderat), taronja (10–16, risc alt), vermell (17–25, risc crític). Els llindars exactes els defineix l'organització en funció del seu apetit al risc. ISO 31000 no prescriu una matriu concreta; la norma exigeix que la metodologia sigui apropiada, proporcional al context i consistent. IgeraIndustria pot explicar com calibrar la matriu segons el sector i les dimensions de l'organització.
Quines són les 4 opcions de tractament del risc segons ISO 31000?
ISO 31000:2018 clàusula 6.5.2 estableix quatre opcions de tractament del risc: (1) Evitar el risc: decidir no iniciar o no continuar l'activitat que origina el risc (ex. no entrar en un mercat amb risc regulatori excessiu); (2) Assumir o augmentar el risc per aprofitar una oportunitat (ex. acceptar major risc operatiu a canvi de major marge); (3) Eliminar la font de risc o reduir la probabilitat/impacte mitjançant controls (mitigar): és l'opció més habitual; (4) Transferir el risc: compartir-lo amb una altra part mitjançant assegurançes, contractes o acords de subcontractació. Per a riscos que superen l'apetit definit, les opcions vàlides són evitar, mitigar o transferir; acceptar només és vàlid si el risc residual està dins de l'apetit. L'elecció ha de ser documentada en el pla de tractament (6.5.3).
Com s'integra ISO 31000 amb ISO 27001, ISO 14001 i ISO 45001?
ISO 31000 és el marc horitzontal de gestió de riscos que serveix com a base metodològica per a totes les normes de sistemes de gestió que inclouen requisits de riscos. ISO 27001:2022 (seguretat de la informació) requereix un procés formal de valoració i tractament de riscos (clàusules 6.1.2 i 6.1.3) alineat amb ISO 31000. ISO 14001:2015 (medi ambient) exigeix identificar riscos i oportunitats ambientals (clàusula 6.1). ISO 45001:2018 (seguretat i salut) exigeix identificar perills i valorar riscos per a SST (clàusula 6.1.2). La integració pràctica consisteix a usar un únic registre de riscos corporatiu amb categories per norma, un procés de valoració unificat i un comitè de riscos que consolidi els riscos de totes les disciplines. IgeraIndustria pot consultar els requisits de cada norma en una sola pregunta i mapear els solapaments.
Plans IgeraIndustria ISO 31000
Sense permanència. Cancel·la quan vulguis.
Starter
Per a pimes industrials que necessiten implementar o revisar el seu sistema de gestió de riscos conforme a ISO 31000 sense dedicar setmanes a interpretar la norma.
- ISO 31000:2018 preindexada
- Consultes per clàusula del procés
- Plantilla de registre de riscos
- 1.000 consultes/mes
- Widget per al responsable de riscos
- Suport per correu electrònic
Professional
Per a empreses amb un sistema de gestió de riscos actiu, comitè de riscos i necessitat d'integrar ISO 31000 amb altres sistemes de gestió.
- ISO 31000 + documentació interna indexada
- Registre de riscos assistit
- Matriu de calor calibrada al context
- 5.000 consultes/mes
- Integració ISO 9001 / 14001 / 45001
- Suport prioritari
Enterprise
Per a grups industrials amb gestió integrada de riscos corporatius, múltiples plantes i necessitat de reporting a òrgans de govern.
- Multi-planta i multi-norma
- ISO 31000 + 27001 + 14001 + 45001 integrades
- Reporting executiu de riscos
- Consultes il·limitades
- SLA 99,9% uptime
- Customer success dedicat
Gestiona riscos conforme a ISO 31000. Comença avui.
- Prova gratuïta 14 dies — sense targeta de crèdit
- ISO 31000:2018 completa preindexada des del dia 1
- Puja el teu registre de riscos, política de riscos i plans de tractament
- Plantilla de matriu de calor calibrable a l'apetit al risc de la teva organització
