Volver al blog
Gestión de Riesgos

ISO 31000: gestión de riesgos empresarial paso a paso

ISO 31000 es el estándar internacional para gestión de riesgos. Aprende sus 8 principios, el proceso de 7 pasos y cómo aplicarlo en tu empresa.

Publicado 2 de julio de 20267 min de lecturaActualizado 27 de jun de 2026

ISO 31000 es la guía internacional más usada para gestión de riesgos. No es certificable pero sí auditable y la SFC y SuperSociedades la aceptan como referencia metodológica. Acá te explicamos los 8 principios, el proceso de 7 pasos y por qué deberías adoptarla aunque no sea obligatoria.

¿Qué es ISO 31000?

ISO 31000:2018 es el estándar internacional publicado por la Organización Internacional de Normalización (ISO) que provee directrices, principios y un marco para gestionar cualquier tipo de riesgo (financiero, operacional, estratégico, reputacional, AML/CFT). A diferencia de ISO 9001, no se certifica — pero se audita.

Los 8 principios de ISO 31000

  1. Integrada — La gestión de riesgos no es un silo, sino parte de todas las decisiones.
  2. Estructurada y exhaustiva — Cubre todos los procesos clave.
  3. Personalizada — Se adapta al contexto interno y externo de la organización.
  4. Inclusiva — Involucra a stakeholders.
  5. Dinámica — Se ajusta a cambios.
  6. Mejor información disponible — Decisiones basadas en datos actuales y proyecciones.
  7. Considera factores humanos y culturales.
  8. Mejora continua — Ciclo PDCA aplicado al riesgo.

El proceso ISO 31000 en 7 pasos

  1. Establecimiento del contexto — Identificar el entorno interno (cultura, recursos) y externo (regulación, mercado, clima).
  2. Identificación de riesgos — Listar exhaustivamente eventos, causas y consecuencias posibles.
  3. Análisis de riesgos — Estimar probabilidad e impacto de cada uno, considerando controles existentes.
  4. Evaluación de riesgos — Comparar el riesgo con el apetito de la organización y decidir cuáles tratar.
  5. Tratamiento — Mitigar, transferir, aceptar o evitar el riesgo.
  6. Monitoreo y revisión — Verificar que los controles funcionen.
  7. Comunicación y consulta — Reportar a stakeholders todo el proceso.

Cómo ISO 31000 se relaciona con SARLAFT y SAGRILAFT

SARLAFT y SAGRILAFT son aplicaciones específicas de los principios de ISO 31000 al riesgo de lavado de activos y financiación del terrorismo. Si tu empresa tiene un programa AML maduro, ya está aplicando ISO 31000 sin saberlo. Implementar ISO 31000 formalmente le da a tu programa una estructura más sólida.

Diferencia entre ISO 31000 y COSO ERM

  • ISO 31000 — Internacional, conciso, orientado al proceso.
  • COSO ERM — Estadounidense, más extenso, orientado a estrategia corporativa y reporting financiero (Sarbanes-Oxley).

En LATAM, las empresas suelen combinar ambos: ISO 31000 para operación día a día + COSO para reporting a Junta y auditoría externa.

¿Cómo te ayuda GRC Software?

La plataforma implementa por defecto el ciclo ISO 31000 + COSO ERM aplicado a riesgo AML, riesgo operativo (SARO), riesgo de protección de datos, riesgo reputacional y riesgo de fraude. Cada matriz incluye contexto, controles, riesgo residual y monitoreo — listos para audit trail.

Próximos pasos

  1. Lee también COSO ERM 2017 y Matriz de riesgo SARLAFT paso a paso.
  2. Hacé el diagnóstico de tu programa de riesgos.
  3. Empezá gratis: crear cuenta.

¿Listo para dejar de luchar con Excel?

Probá GRC Software gratis. Sin tarjeta. Activo en 5 minutos.