Una perspectiva práctica sobre la gestión de riesgos en la planificación estratégica utilizando ISO 31000 como estándar guía.
Tendencias clave que están dando forma al panorama de la gestión de riesgos en 2026
Estamos siguiendo activamente las tendencias emergentes en la planificación estratégica, específicamente su impacto en la gestión de riesgos.
Casos de uso relacionados con el riesgo observados en 2025:
- Integrar la gestión de riesgos en la estrategia mediante la desagregación de los riesgos empresariales en cuadros de mando estratégicos y funcionales alineados, vinculando riesgos, escenarios y KPIs entre funciones.
- Integrar la gestión de riesgos en la ejecución de la estrategia mediante el monitoreo continuo de controles preventivos y mitigadores a través del análisis bowtie dentro de un único marco de desempeño.
Estos son los cambios en la gestión de riesgos que esperamos ver en 2026:
- Más regulaciones están incluyendo explícitamente requisitos para prácticas de gestión de riesgos. El concepto de partes interesadas es cada vez más frecuente en la gestión de riesgos.
- La gobernanza de IA se está adoptando ampliamente para mitigar los riesgos asociados con la IA generativa emergente.
- Violaciones de datos notables (como las que involucran a Coupang, Aflac y la Universidad de Phoenix) han generado un mayor interés en la validación de proveedores externos.
- La fragmentación geopolítica continua, las restricciones comerciales y la volatilidad macroeconómica están impulsando a las organizaciones en 2026 a expandir y poner a prueba sus modelos de riesgo, especialmente a lo largo de la cadena de suministro.
- Los eventos climáticos extremos han ampliado el interés en la recuperación ante desastres más allá del núcleo de TI.
El riesgo es un tema de tendencia en la comunidad profesional. Estamos viendo más conferencias sobre riesgos y GRC en Estados Unidos y Europa. Compartiremos nuestra experiencia práctica en gestión de riesgos a través de charlas en conferencias programadas.
Introducción: Definir el riesgo más allá de la probabilidad y el impacto
El estándar guía en el dominio de la gestión de riesgos es la ISO 31000. Es intrigante observar la evolución de la definición del estándar de riesgo a lo largo del tiempo:
- La definición anterior de riesgo según la ISO: «Una posibilidad o probabilidad de pérdida.»
- La definición según ISO 31000:2018: «El efecto de la incertidumbre sobre los objetivos.»
¿Qué ha cambiado?
- La definición antigua mencionaba «pérdida«; la nueva emplea el término «efecto.» Este cambio implica efectos potenciales positivos y negativos, y también resalta la importancia de intangibles como la percepción del cliente.
- La definición antigua usaba «posibilidad» y «probabilidad» para describir la probabilidad de ocurrencias. En la definición moderna, encontramos el «efecto de la incertidumbre,» también explicado como el efecto del conocimiento incompleto. Este enfoque permite más flexibilidad en la definición de riesgos, extendiéndose más allá del modelo «probabilidad x impacto.»
- La adición del término «objetivo» a la nueva definición resalta que los riesgos se definen dentro de un contexto específico, previniendo el posible desalineamiento con la estrategia general.
Exploremos la aplicación práctica de la gestión de riesgos en la planificación estratégica utilizando los principios guía del estándar ISO.
1. Evaluación de riesgos: sistemática y consciente de las partes interesadas
Mapear posibles riesgos a través del análisis sistemático de fuerzas impulsoras y sus indicadores de señal temprana en el contexto de la estrategia de la organización y los intereses de las partes interesadas.
La directriz general de la norma ISO enfatiza que la evaluación de riesgos debe ser sistemática y tener en cuenta las opiniones de las diferentes partes interesadas.
¿Qué significa en la práctica?
Evaluación del riesgo: sistemática
El concepto de evaluación del riesgo ‘sistemática’ varía entre industrias. Esencialmente, implica seguir procesos y estándares determinados, tales como:
- Regularidad de la evaluación del riesgo
- Cuantificación del riesgo
- Asignación de individuos responsables
A continuación, discutimos cómo esto puede implementarse a nivel operativo.
Evaluación de Riesgos: Perspectiva del Interesado
Similar a otros dominios empresariales (considere, por ejemplo, la directiva de informes de sostenibilidad), la norma ISO se centra en la definición de los interesados y requiere tener en cuenta las opiniones de los interesados al gestionar los riesgos.
En la práctica, esto significa que las organizaciones necesitan:
- Realizar un análisis de partes interesadas para definir las partes interesadas involucradas.
- Tener en cuenta los intereses de las partes interesadas al crear un modelo de riesgo en el contexto de los objetivos.
Este requisito estándar se alinea bien con el enfoque que respaldamos a través de nuestro sistema de implementación de estrategias.
Los usuarios de BSC Designer encontrarán la plantilla de análisis de partes interesadas en sus cuentas.
- La lista de interesados se puede definir a través de Configuración > Organización > Estrategia.
- Los interesados de la lista se incluirán en la lista de ‘Responsable‘ y se pueden asignar a un objetivo, riesgo o plan de mitigación de riesgos.
Identificación de riesgos en el contexto de objetivos
El siguiente paso de la evaluación de riesgos es nombrar el riesgo específico. La nueva norma ISO requiere que los riesgos se definan en el contexto de los objetivos. La aspiración de la norma es mejorar la alineación entre el riesgo y el contexto empresarial.
Michael Rasmussen, un reconocido analista de GRC, compartió su perspectiva sobre la gestión de riesgos para la creación de valor versus la gestión de riesgos para el cumplimiento:
- “[Una buena herramienta para la gestión de riesgos] comienza con los objetivos del negocio y asigna y gestiona el riesgo en el contexto de esos objetivos (verdadero ISO 31000).”
En la planificación estratégica, en lugar de tener un cuadro de mando de riesgos separado, integre los riesgos en los cuadros de mando estratégicos.
Al realizar la descomposición de la estrategia basada en el valor, desglosamos las ambiciones estratégicas de los interesados en objetivos y subobjetivos más específicos. En este punto, cuantificamos los objetivos y definimos los riesgos para comprender mejor el contexto empresarial con el que estamos tratando.
La mayoría de las herramientas que utilizamos para analizar el entorno empresarial (consulte el segmento de Análisis de Estrategia en el diagrama) ayudarán naturalmente con la identificación de riesgos.
Para definir un riesgo en BSC Designer:
- Seleccione un objetivo existente o cree uno nuevo.
- Elija Añadir Riesgo desde el menú del botón Añadir.
- Complete los factores relevantes en el campo de descripción y use la sección de Documentos para cargar cualquier documento de respaldo.
Para ingresar los resultados del análisis de riesgos:
- Seleccione el indicador Probabilidad.
- Ingrese la estimación inicial del riesgo en el campo Inherente.
- Ingrese el riesgo aceptable en el campo Aceptable.
- Ingrese la estimación actual del riesgo en el campo Residual.
Repita los pasos para el indicador Impacto.
Definir indicadores de actuación temprana
La causa raíz del riesgo es lo que se refiere en ISO como el efecto de «conocimiento incompleto«.
¿Cómo podemos mejorar nuestros modelos de riesgo en el contexto de las fuerzas impulsoras?
Además de los indicadores de probabilidad, defina indicadores de actuación temprana. Por ejemplo, estos podrían ser indicadores de advertencia temprana de crisis económicas o incluso guerras. Al traducir fuerzas impulsoras generales en factores más específicos, aumentamos la posibilidad de encontrar un indicador de advertencia temprana confiable.
En la planificación estratégica, distinguimos estos indicadores predictivos/de actuación alineados con los factores de éxito de los indicadores que miden resultados (indicadores de resultado).
Para crear un indicador predictivo de señal temprana en BSC Designer:
- Cree un nuevo indicador.
- Cambie a la pestaña Contexto.
- Cambie el tipo de indicador a «Actuación».
Risk Management Example. Este indicador no será tenido en cuenta al calcular el rendimiento de su objetivo principal, pero podemos rastrearlo y usarlo para cuantificar iniciativas de descubrimiento de riesgos o mitigación de riesgos.
2. Análisis de riesgos: Probabilidad, impacto, vulnerabilidad
Haga que los riesgos sean más específicos cuantificando atributos como la probabilidad, el impacto y la vulnerabilidad.
El análisis de riesgos es una práctica amplia centrada en comprender el riesgo y sus posibles efectos en la organización. A continuación, proporcionamos sugerencias para el análisis de riesgos en el contexto de la planificación estratégica.
Defina el indicador de probabilidad
El indicador de probabilidad se puede definir:
- Cualitativamente, por ejemplo, en la escala [Bajo, Medio, Alto] o
- Cuantitativamente, por ejemplo, en la escala [0 a 100%].
La escala cuantitativa es adecuada para casos donde el evento de riesgo tiene suficientes datos empíricos para estimar su probabilidad durante un cierto período de tiempo.
Risk Management Example. 
Los usuarios de BSC Designer pueden definir unidades de medida cualitativas (una escala personalizada [«Raro, Improbable, Posible, Probable, Cierto»]) que el software puede convertir en valores específicos.
Risk Management Example. Indicador de impacto del riesgo
Similar al indicador de probabilidad, podemos definir el indicador de riesgo cuantitativamente en una escala de 0 a 100%.
Una opción alternativa sería usar una escala en dólares para el indicador de impacto del riesgo.
Ejemplo de Gestión de Riesgos. Similar al indicador de probabilidad, podemos definir una escala cuantitativa personalizada para el impacto:
Ejemplo de Gestión de Riesgos. Indicador de vulnerabilidad
La estimación de la probabilidad del riesgo y su posible impacto no considera la sensibilidad de la organización a este tipo de riesgo.
Cuando se discuten los indicadores de señales tempranas, cuantificamos aspectos del entorno empresarial que podrían predecir el desarrollo de ciertas fuerzas impulsoras. En el caso de la vulnerabilidad, realizamos un análisis similar pero nos enfocamos en la organización y su infraestructura.
Por ejemplo, podríamos evaluar las vulnerabilidades existentes en ciberseguridad mediante juegos de guerra o simulaciones de ataque. Se pueden encontrar ejemplos más específicos en el artículo de ciberseguridad.
La “vulnerabilidad” se puede cuantificar según el CVSS en la escala de 0 a 10 con la función de optimización de “Minimización”.
Alinear el riesgo con la efectividad de los controles internos
Una forma de estimar la probabilidad o el impacto de un riesgo es evaluando la efectividad de los controles internos.
La efectividad de los controles se valida mediante métricas de resultado. Si estas se encuentran en la zona verde, podemos esperar una estimación de riesgo más baja.
Rastrear factores de tiempo
El cambio constante de las fuerzas impulsoras, así como las iniciativas de prevención de riesgos, resulta en cambios en las estimaciones de riesgo.
Rastree la evolución del riesgo a lo largo del tiempo y anote ideas relevantes para el ciclo de aprendizaje y mejora.
Para automatizar esto en BSC Designer:
- Establezca un intervalo de actualización para los indicadores de riesgo.
- Utilice el calendario interno y el campo de Valor para actualizar el indicador con datos nuevos.
- Use el botón de comentario para agregar notas relevantes a la actualización.
3. Tratamiento del riesgo: Decidir cómo responder al riesgo
Implemente planes de mitigación para los riesgos y haga un seguimiento del éxito de la implementación con los estados de las iniciativas e indicadores de mitigación de riesgos.
De acuerdo con los umbrales establecidos de riesgos aceptables y siguiendo los resultados del análisis de riesgos, los responsables de la toma de decisiones formulan una estrategia de respuesta al riesgo con opciones posibles como:
- Eliminar riesgos por no ser relevantes
- Monitorear dentro del modelo de riesgos existente
- Introducir un plan de tratamiento del riesgo
- Cuestionar el análisis de riesgo
- Cuestionar el contexto (objetivo o ambición de las partes interesadas)
En BSC Designer:
- Utilice iniciativas de Mitigación de Riesgo para anotar los planes de tratamiento de riesgo.
- Alinee el indicador de progreso con la iniciativa de mitigación de riesgo.
- Use el campo de estado del riesgo para indicar su estado actual según el flujo de trabajo aceptado de gestión de riesgos.
Risk Management Example. - Agregue elementos adicionales a través del diálogo de Iniciativas (nuevos riesgos, iniciativas, fundamentos, hipótesis, resultados esperados)
- Agregue datos relevantes para el tratamiento de riesgos, como presupuesto, cronograma, indicador de progreso, personas responsables
- Suba documentos de apoyo relevantes
4. Monitoreo de riesgos: una nueva mirada a la exposición al riesgo
Rastree la evolución de la exposición al riesgo a lo largo del tiempo con indicadores clave de riesgo y paneles de control.
Los indicadores que utilizamos para definir los riesgos están configurados para un cierto intervalo de actualización. Los responsables asignados a los indicadores de riesgo recibirán notificaciones sobre los próximos intervalos de actualización y actualizaciones perdidas.
También es posible visualizar en el panel de control los indicadores que no se actualizaron a tiempo.
Los detalles de todas las actualizaciones (persona que actualizó, cuándo se realizó la actualización, si se cambió el valor anterior) se pueden visualizar a través del registro de auditoría de los indicadores.
En el nivel del cuadro de mando de gobernanza, el análisis regular de riesgos se puede cuantificar mediante un indicador dedicado:
- Agregue el “Realizar evaluación sistemática de riesgos” al cuadro de mando de gobernanza.
- Configure el indicador para que se actualice trimestral o anualmente.
- Asigne a la persona/equipo responsable del análisis regular de riesgos como responsable de este indicador para recibir recordatorios por correo electrónico sobre las próximas actualizaciones.
- Alinee este indicador con los indicadores correspondientes de niveles inferiores que cuantifican las evaluaciones de riesgos realizadas en áreas específicas.
Paneles de control
Además de monitorear con indicadores actualizados regularmente, considere agregar un panel de control con diagramas relevantes:
- Un diagrama con una lista de los riesgos, sus estados, el progreso del tratamiento, las personas responsables
- Diagramas dedicados a los riesgos más críticos
- Diagramas para el índice de riesgo y su cambio a lo largo del tiempo.
Ejemplo de Gestión de Riesgos. 
Índice de riesgo ponderado
Uno de los medios populares para reportar incidentes de riesgo es usar un índice de riesgo ponderado. Un índice simple podría verse así:
- Eventos de bajo impacto (peso = 5%)
- Eventos de impacto medio (peso = 15%)
- Eventos de alto impacto (peso = 30%)
- Eventos críticos (peso = 50%)
El uso del índice ayuda a prevenir la manipulación del indicador al enmascarar eventos de alto valor con soluciones de bajo valor.
Risk Management Example. En BSC Designer:
- Utilice el botón Agregar para crear una estructura jerárquica de indicadores.
- Utilice la propiedad Peso en la pestaña Rendimiento para asignar el peso relevante a los indicadores.
Gestión de Riesgos a Escala: Registro de Riesgos vs. Definiciones de Riesgos Centradas en Objetivos
Al escalar prácticas relacionadas con el riesgo, las organizaciones típicamente combinan estos dos métodos de gestión de riesgos para equilibrar la visibilidad del riesgo y la alineación:
- Utilizando un cuadro de mando de registro de riesgos para riesgos generales, y
- Enfocándose en definiciones de riesgos centradas en objetivos para riesgos más específicos.
Risk Register. Análisis de riesgos integral – Método Bowtie
Arriba, nos centramos en el análisis cuantitativo de riesgos específicos. Pero, ¿qué sucede si necesitamos una comprensión más detallada de las incertidumbres relacionadas con un evento de riesgo particular—uno que implique múltiples amenazas y consecuencias a través de diversas dimensiones?
En estos casos, el método de análisis de riesgos Bowtie ofrece una visión clara y estructurada de ese evento de riesgo específico, mapeando no solo el evento en sí, sino también sus controles de prevención y mitigación.
Diapositivas
Conclusión: Integración del riesgo en la planificación estratégica
Ya no estamos hablando de disciplinas separadas de gestión de riesgos, cumplimiento y gobernanza. El entorno empresarial en rápida evolución obliga a las organizaciones a buscar un marco GRC integrado.
Como se describe en nuestro Sistema de Implementación de Estrategia, la implementación práctica incluye:
- Descomponer problemas complejos en áreas específicas, gestionadas por cuadros de mando de estrategia y función dedicados.
- Formular objetivos con definiciones de riesgo, indicadores e iniciativas adecuadas.
- Enfocar los cuadros de mando en áreas de interés, como cumplimiento, ciberseguridad o la cadena de suministro.
Use la plantilla Risk Management Example
BSC Designer ayuda a las organizaciones a implementar sus estrategias complejas:
- Regístrese para un plan gratuito en la plataforma.
- Use la plantilla
Risk Management Example como punto de partida. La encontrará en Nuevo > Nuevo cuadro de mando > Más plantillas. - Siga nuestro Sistema de Implementación de Estrategias para alinear a los interesados y las ambiciones estratégicas en una estrategia integral.
¡Comience hoy y vea cómo BSC Designer puede simplificar la implementación de su estrategia!
Alexis Savkin es arquitecto de implementación de estrategia y fundador de BSC Designer, una plataforma de software para la ejecución de la estrategia y el Cuadro de Mando Integral. Ayuda a las organizaciones a automatizar la gestión del desempeño y a convertir la estrategia en resultados medibles. Alexis es el creador del «Sistema de implementación de estrategia», autor de más de 100 artículos sobre estrategia y medición del desempeño, y ponente habitual en eventos del sector.