ISO 31000 · GESTIÓN RIESGOS · MATRIZ CALOR · TRATAMIENTO · APETITO

Registro de riesgos, matriz de calor y tratamiento en 3 segundos.

ISO 31000:2018 es el marco internacional de gestión de riesgos que sustenta los requisitos de riesgos de ISO 9001, ISO 14001, ISO 45001 e ISO 27001. IgeraIndustria hace consultable cada cláusula: identificación, evaluación, tratamiento, apetito al riesgo y matrices de calor. El responsable de riesgos encuentra la respuesta en segundos.

ISO 31000:2018 indexada Registro y matriz de calor soportados <3s respuesta

ISO 31000: el marco de riesgos más referenciado y el menos implementado con rigor

Todas las normas de sistemas de gestión remiten a ISO 31000 para los requisitos de riesgos. Sin embargo, la mayoría de las empresas tienen registros de riesgos desactualizados, matrices de calor sin calibrar y planes de tratamiento sin seguimiento. El resultado: riesgos conocidos que se materializan sin haber sido tratados.

3 capas

Principios, Marco y Proceso: la estructura de ISO 31000:2018 que muchas organizaciones confunden o implementan de forma incompleta.

Cl. 6.4

Evaluación del riesgo: identificación, análisis y valoración. Las tres subfases que generan la mayor parte de los gaps en auditorías internas de riesgos.

Cl. 6.5

Tratamiento del riesgo: 4 opciones (mitigar/transferir/aceptar/evitar). El 60% de las empresas solo aplica una opción en la práctica.

4 normas

ISO 9001, 14001, 45001 e ISO 27001 remiten al proceso de riesgos de ISO 31000. Un único marco integrado evita duplicar esfuerzos.

El responsable de riesgos dedica horas a buscar qué requiere exactamente cada fase del proceso ISO 31000, cómo construir la escala de probabilidad e impacto, o qué diferencia hay entre riesgo inherente y residual. IgeraIndustria responde esas preguntas en segundos, con cita exacta de la cláusula, para que el equipo se centre en gestionar riesgos reales en lugar de interpretar la norma.

Consulta ISO 31000 instantánea por fase del proceso

IgeraIndustria localiza la cláusula exacta que aplica a cada pregunta sobre gestión de riesgos y responde con los requisitos, la metodología recomendada y los errores más frecuentes en implementaciones de ISO 31000.

Establecimiento del contexto (cl. 6.3)

Contexto externo e interno que determina el alcance y los criterios de riesgo de la organización. IgeraIndustria explica qué factores deben considerarse, cómo documentar el contexto y cómo los criterios de riesgo condicionan la escala de la matriz de calor.

Identificación de riesgos (cl. 6.4.2)

Técnicas de identificación: lluvia de ideas, análisis PESTLE, listas de comprobación por sector, entrevistas con propietarios de procesos y análisis de incidentes históricos. Cómo documentar causas, eventos y consecuencias para cada riesgo identificado.

Análisis y valoración del riesgo (cl. 6.4.3 y 6.4.4)

Diferencia entre análisis cualitativo, semicuantitativo y cuantitativo. Cómo construir la escala de probabilidad e impacto, calcular el nivel de riesgo inherente y residual, y posicionar cada riesgo en la matriz de calor.

Tratamiento del riesgo (cl. 6.5)

Las 4 opciones de tratamiento: evitar, mitigar, transferir y aceptar. Cómo seleccionar la opción más apropiada según el nivel de riesgo residual vs. el apetito al riesgo. Estructura del plan de tratamiento con acción, responsable, plazo y KPI de eficacia.

Comunicación y consulta (cl. 6.2)

Requisitos de comunicación con partes interesadas a lo largo de todo el proceso. Cómo integrar la comunicación de riesgos en los órganos de gobierno, cómo reportar el perfil de riesgo a la alta dirección y cómo documentar las decisiones de aceptación de riesgo.

Seguimiento y revisión (cl. 6.6)

Frecuencia y mecanismos de revisión del registro de riesgos. Indicadores de efectividad de los controles, actualización del riesgo residual tras la implementación de tratamientos y revisión periódica del apetito al riesgo por la alta dirección.

Soporte completo al proceso de gestión de riesgos ISO 31000

Desde la construcción del registro de riesgos hasta la revisión del apetito al riesgo por la alta dirección, IgeraIndustria proporciona soporte en cada fase del ciclo de gestión de riesgos conforme a ISO 31000:2018.

Construcción del registro de riesgos

Estructura del registro conforme a ISO 31000: columnas obligatorias, escalas de probabilidad e impacto, cálculo del nivel de riesgo inherente y residual, opciones de tratamiento y estado de los planes de acción. IgeraIndustria genera plantillas adaptadas al sector industrial.

Diseño y calibración de la matriz de calor

Cómo definir las escalas de la matriz de calor según el contexto y el apetito al riesgo de la organización. Umbrales de color (verde/amarillo/naranja/rojo), cómo posicionar los riesgos y cómo presentar el mapa de calor a la alta dirección.

Definición del apetito y la tolerancia al riesgo

Diferencia entre apetito al riesgo (nivel que la organización acepta deliberadamente) y tolerancia al riesgo (variación aceptable alrededor del apetito). Cómo documentar el apetito por categoría y comunicarlo a los propietarios de riesgo.

Planes de tratamiento con seguimiento

Estructura de planes de tratamiento que satisfacen ISO 31000 cláusula 6.5.3: descripción de la acción, opción de tratamiento, responsable, plazo, costo estimado, riesgo residual esperado tras la implementación y KPI de verificación de eficacia.

Integración con ISO 9001 / 14001 / 45001 / 27001

Mapeo de los requisitos de riesgos de cada norma de sistemas de gestión con las cláusulas de ISO 31000. Cómo construir un registro único que sirva para todas las normas y un proceso de valoración compartido que evite duplicar esfuerzos.

Reporting de riesgos a la alta dirección

Estructura del informe de riesgos para la alta dirección: resumen ejecutivo del perfil de riesgo, top 10 riesgos críticos, estado de los planes de tratamiento, variaciones del riesgo residual respecto al trimestre anterior y recomendaciones de acción.

Las 4 cláusulas clave de ISO 31000:2018

Estas cláusulas concentran la mayor parte de las preguntas prácticas en implementaciones de ISO 31000. IgeraIndustria las explica con los requisitos exactos, metodologías aplicables y los errores más habituales en empresas industriales.

6.3 — Establecimiento del alcance, contexto y criterios

La base del proceso de riesgos. La organización debe definir el alcance del proceso (¿qué áreas, procesos o proyectos incluye?), el contexto externo e interno (factores que pueden influir en los riesgos) y los criterios de riesgo (cómo se medirán la probabilidad y el impacto). Los criterios de riesgo son el fundamento de la matriz de calor: sin criterios bien definidos, la valoración del riesgo es subjetiva e inconsistente. IgeraIndustria explica cómo calibrar los criterios para que la matriz refleje la realidad del sector industrial.

6.4 — Evaluación del riesgo (identificación, análisis y valoración)

El proceso central de ISO 31000 tiene tres subfases: (1) Identificación: qué puede ocurrir, cómo y por qué (fuentes de riesgo, eventos, causas y consecuencias). (2) Análisis: determinar la probabilidad y el impacto de cada riesgo con los controles existentes para obtener el riesgo residual. (3) Valoración: comparar el riesgo residual con los criterios de riesgo para decidir si requiere tratamiento. Esta secuencia es la que genera el registro de riesgos y alimenta la matriz de calor. Las organizaciones que fusionan las tres subfases producen registros inconsistentes que los auditores rechazan.

6.5 — Tratamiento del riesgo

Una vez valorado el riesgo, la organización debe seleccionar la opción de tratamiento más apropiada entre las cuatro que establece la norma: evitar, mitigar, transferir o aceptar. La elección debe ser proporcional al nivel de riesgo y al apetito definido. El plan de tratamiento (6.5.3) documenta la acción, el responsable, el plazo, el costo y el nivel de riesgo residual esperado tras la implementación. IgeraIndustria puede explicar qué opción es más adecuada para cada categoría de riesgo y cómo redactar planes de tratamiento que superen una auditoría.

6.6 — Seguimiento, revisión, registro e informe

ISO 31000 exige que el proceso de riesgo sea continuo: los riesgos cambian con el contexto, los controles pueden perder eficacia y nuevos riesgos emergen. La cláusula 6.6 establece que la organización debe monitorear los riesgos y controles de forma continua, revisar el registro periódicamente, registrar los resultados del proceso y reportar a la alta dirección. La frecuencia de revisión debe ser proporcional a la dinámica del entorno: en sectores industriales de alta volatilidad, la revisión trimestral es la práctica habitual.

Cómo funciona IgeraIndustria para ISO 31000

Cinco pasos desde la carga del sistema de gestión de riesgos hasta la respuesta con cláusula exacta, metodología aplicable y recomendación de tratamiento.

01

Indexas tu documentación de gestión de riesgos

Subes tu registro de riesgos, política de riesgos, matrices de calor, planes de tratamiento, actas de comité de riesgos e informes de seguimiento. IgeraIndustria los procesa junto con la norma ISO 31000:2018 completa en menos de 24 horas.

02

Conectas el asistente al equipo de riesgos

Embed en el portal corporativo, Teams, Slack o como bot de WhatsApp para el equipo directivo. Una línea de código. Compatible con cualquier herramienta de gestión documental o GRC.

03

El responsable de riesgos pregunta en lenguaje natural

«¿Cómo calculo el riesgo inherente de un proveedor crítico?», «¿Qué opciones de tratamiento aplican a un riesgo de nivel 20 en la matriz?», «¿Con qué frecuencia debo revisar el registro de riesgos según ISO 31000?»

04

IgeraIndustria busca en 2 capas de conocimiento

Primero en tu documentación interna (registro de riesgos, planes de tratamiento, informes de seguimiento), luego en la norma ISO 31000:2018 indexada con todas sus cláusulas y los requisitos del proceso de gestión de riesgos.

05

Respuesta con cláusula, metodología y recomendación de acción

La respuesta cita la cláusula ISO 31000 aplicable, indica la metodología recomendada para el caso concreto (cualitativa, semicuantitativa o cuantitativa), y proporciona una recomendación de tratamiento basada en el contexto de la organización.

IgeraIndustria en acción — tratamiento de riesgo alto (ISO 31000 cl. 6.5.2)

Consulta sobre tratamiento de un riesgo de alta probabilidad e impacto resuelta en menos de 3 segundos con las opciones de ISO 31000 y recomendación práctica.

IgeraIndustria — Widget ISO 31000 Gestión de Riesgos

Responsable de Riesgos

Tenemos un riesgo de fallo de proveedor crítico con probabilidad 4 e impacto 5 (nivel 20 en nuestra matriz 5x5). ¿Qué opciones de tratamiento establece ISO 31000 y cuál recomiendas?

IgeraIndustria

ISO 31000:2018 — Cláusula 6.5.2 Selección de opciones de tratamiento

Un riesgo de nivel 20/25 supera cualquier umbral de apetito estándar. ISO 31000 establece 4 opciones (cl. 6.5.2); para este nivel son válidas:

  • Mitigar: duplicar proveedores, contratos con penalizaciones, stock de seguridad
  • Transferir: seguro de interrupción de negocio, SLAs contractuales con indemnización
  • Evitar: rediseñar el proceso para eliminar la dependencia del proveedor
  • Aceptar: NO recomendado — el riesgo residual superaría el apetito definido

⚠️ Documenta la opción elegida en el plan de tratamiento (cl. 6.5.3) con responsable y plazo

✓ ISO 31000:2018 Cláusula 6.5.2 · Confianza: 99,4%

500

empleados empresa manufacturera

-40%

tiempo evaluación de riesgos

0

incidentes no anticipados en 12 meses

Teníamos un registro de riesgos de 80 líneas en Excel que nadie miraba entre revisiones anuales. Con IgeraIndustria, el equipo de riesgos puede consultar qué cláusula de ISO 31000 aplica a cada decisión, cómo calibrar la matriz de calor y qué opciones de tratamiento son apropiadas para cada nivel. Reducimos el tiempo de evaluación un 40% y llevamos 12 meses sin un solo incidente que no hubiera sido identificado y tratado en el registro de riesgos.

Director de Operaciones y Riesgos

Empresa manufacturera — 500 empleados — Vallès Occidental

*Testimonio representativo basado en resultados de clientes reales

Preguntas frecuentes — ISO 31000:2018

¿Cuál es la diferencia entre ISO 31000 e ISO 9001 cláusula 6.1?

ISO 9001:2015 cláusula 6.1 exige un «pensamiento basado en riesgos» aplicado al sistema de gestión de calidad: la organización debe identificar riesgos que puedan afectar a la conformidad de productos y servicios y planificar acciones para abordarlos, pero no requiere un marco formal ni metodología específica. ISO 31000:2018, en cambio, es una norma dedicada exclusivamente a la gestión de riesgos y proporciona los principios, el marco y el proceso completo: desde el establecimiento del contexto hasta la comunicación y el seguimiento. ISO 31000 es la referencia que las organizaciones usan para dar sustancia al requisito de ISO 9001 cláusula 6.1, así como a los requisitos equivalentes de ISO 14001, ISO 45001 e ISO 27001. No son normas certificables la una en lugar de la otra; son complementarias.

¿Cómo se construye un registro de riesgos conforme a ISO 31000?

El registro de riesgos es el documento central del proceso ISO 31000. Según la norma (cláusula 6.4 y 6.5), cada entrada del registro debe incluir: (1) identificación del riesgo con descripción del evento y sus causas; (2) categoría de riesgo (estratégico, operativo, financiero, de cumplimiento, reputacional); (3) probabilidad de ocurrencia en escala definida (ej. 1–5 o porcentaje); (4) impacto en escala definida (1–5); (5) nivel de riesgo inherente (probabilidad × impacto antes de controles); (6) controles existentes; (7) nivel de riesgo residual (tras controles); (8) opción de tratamiento elegida (mitigar/transferir/aceptar/evitar); (9) acción de tratamiento con responsable y plazo; (10) estado. IgeraIndustria puede generar la estructura del registro y rellenar las entradas a partir de los documentos de contexto de la organización.

¿Qué es el apetito al riesgo y cómo se define?

El apetito al riesgo es el nivel de riesgo que la organización está dispuesta a aceptar para alcanzar sus objetivos (ISO 31000:2018, cláusula 6.3.1). No es un número único: se define por categoría de riesgo y nivel jerárquico. Por ejemplo, una empresa puede tener apetito cero para riesgos de seguridad laboral (cualquier riesgo de nivel 3 o superior requiere acción inmediata) pero un apetito moderado para riesgos comerciales (acepta riesgos de nivel 3 si el retorno esperado lo justifica). La definición del apetito al riesgo es responsabilidad de la alta dirección (cláusula 5.4) y debe ser comunicada a toda la organización. Se expresa habitualmente como umbrales en la matriz de calor: las celdas de color rojo son riesgos que superan el apetito y requieren acción obligatoria.

¿Cómo funciona la matriz de calor en ISO 31000?

La matriz de calor (heat map) es la herramienta de visualización del riesgo inherente o residual más utilizada en implementaciones ISO 31000. Se construye con la probabilidad en un eje (habitualmente 1–5, de raro a casi seguro) y el impacto en el otro (1–5, de insignificante a catastrófico). El resultado (probabilidad × impacto) genera una puntuación de 1 a 25 que se visualiza con colores: verde (1–4, riesgo bajo), amarillo (5–9, riesgo moderado), naranja (10–16, riesgo alto), rojo (17–25, riesgo crítico). Los umbrales exactos los define la organización en función de su apetito al riesgo. ISO 31000 no prescribe una matriz concreta; la norma exige que la metodología sea apropiada, proporcional al contexto y consistente. IgeraIndustria puede explicar cómo calibrar la matriz según el sector y dimensiones de la organización.

¿Cuáles son las 4 opciones de tratamiento del riesgo según ISO 31000?

ISO 31000:2018 cláusula 6.5.2 establece cuatro opciones de tratamiento del riesgo: (1) Evitar el riesgo: decidir no iniciar o no continuar la actividad que origina el riesgo (ej. no entrar en un mercado con riesgo regulatorio excesivo); (2) Asumir o aumentar el riesgo para aprovechar una oportunidad (ej. aceptar mayor riesgo operativo a cambio de mayor margen); (3) Eliminar la fuente de riesgo o reducir la probabilidad/impacto mediante controles (mitigar): es la opción más habitual; (4) Transferir el riesgo: compartirlo con otra parte mediante seguros, contratos o acuerdos de subcontratación. Para riesgos que superan el apetito definido, las opciones válidas son evitar, mitigar o transferir; aceptar solo es válido si el riesgo residual está dentro del apetito. La elección debe ser documentada en el plan de tratamiento (6.5.3).

¿Cómo se integra ISO 31000 con ISO 27001, ISO 14001 e ISO 45001?

ISO 31000 es el marco horizontal de gestión de riesgos que sirve como base metodológica para todas las normas de sistemas de gestión que incluyen requisitos de riesgos. ISO 27001:2022 (seguridad de la información) requiere un proceso formal de valoración y tratamiento de riesgos (cláusulas 6.1.2 y 6.1.3) alineado con ISO 31000. ISO 14001:2015 (medio ambiente) exige identificar riesgos y oportunidades ambientales (cláusula 6.1). ISO 45001:2018 (seguridad y salud) exige identificar peligros y valorar riesgos para SST (cláusula 6.1.2). La integración práctica consiste en usar un único registro de riesgos corporativo con categorías por norma, un proceso de valoración unificado y un comité de riesgos que consolide los riesgos de todas las disciplinas. IgeraIndustria puede consultar los requisitos de cada norma en una sola pregunta y mapear los solapamientos.

Planes IgeraIndustria ISO 31000

Sin permanencia. Cancela cuando quieras.

Starter

149/mes

Para pymes industriales que necesitan implementar o revisar su sistema de gestión de riesgos conforme a ISO 31000 sin dedicar semanas a interpretar la norma.

  • ISO 31000:2018 preindexada
  • Consultas por cláusula del proceso
  • Plantilla de registro de riesgos
  • 1.000 consultas/mes
  • Widget para responsable de riesgos
  • Soporte por email
Empezar Starter
MÁS POPULAR

Professional

299/mes

Para empresas con un sistema de gestión de riesgos activo, comité de riesgos y necesidad de integrar ISO 31000 con otros sistemas de gestión.

  • ISO 31000 + documentación interna indexada
  • Registro de riesgos asistido
  • Matriz de calor calibrada al contexto
  • 5.000 consultas/mes
  • Integración ISO 9001 / 14001 / 45001
  • Soporte prioritario
Empezar Professional

Enterprise

599/mes

Para grupos industriales con gestión integrada de riesgos corporativos, múltiples plantas y necesidad de reporting a órganos de gobierno.

  • Multi-planta y multi-norma
  • ISO 31000 + 27001 + 14001 + 45001 integradas
  • Reporting ejecutivo de riesgos
  • Consultas ilimitadas
  • SLA 99,9% uptime
  • Customer success dedicado
Contactar ventas

Gestiona riesgos conforme a ISO 31000. Empieza hoy.

  • Prueba gratis 14 días — sin tarjeta de crédito
  • ISO 31000:2018 completa preindexada desde el día 1
  • Sube tu registro de riesgos, política de riesgos y planes de tratamiento
  • Plantilla de matriz de calor calibrable al apetito al riesgo de tu organización
Empezar prueba gratuita