En resumen
Casi todos los programas de seguridad citan la ISO 31000. Muy pocos saben para qué sirve la ISO 31010. La diferencia entre las dos no es técnica. Es la diferencia entre tener un plan y saber ejecutarlo.
Por qué importa
Citar la ISO 31000 en tu política de riesgos sin saber qué dice la ISO 31010 es como tener un mapa sin saber leerlo. El mapa está bien. El problema eres tú.
La ISO 31000 aparece en casi todos los marcos regulatorios de seguridad: OEA, C-TPAT, ESRM. Se cita como referencia de buenas prácticas. El problema es que la mayoría de los profesionales que la citan no la han leído completa, y los que sí la leyeron confunden su alcance con el de la ISO 31010.
No son intercambiables. Son complementarias. Y entender la diferencia cambia cómo estructuras tu evaluación de riesgos.
Qué hace cada una
- ▸ISO 31000: define el marco y el proceso de gestión de riesgos. Establece principios, estructura organizacional, criterios de documentación y los pasos del ciclo completo: contexto, evaluación, tratamiento, monitoreo. Es la metodología.
- ▸ISO 31010: define las técnicas de apreciación del riesgo. Describe más de 30 herramientas — desde análisis FODA hasta árboles de falla, listas de verificación, análisis de escenarios y matrices de probabilidad-impacto. Es el instrumental.
Dicho de otra forma: la ISO 31000 te dice qué hacer y en qué orden. La ISO 31010 te dice cómo hacerlo con rigor técnico. Puedes tener la primera sin la segunda y tu evaluación va a ser metodológicamente correcta pero técnicamente superficial. Eso es exactamente lo que detecta un auditor externo en los primeros veinte minutos.
Herramientas profesionales
Explora las herramientas creadas para fortalecer la seguridad y la prevención en las organizaciones.
Por qué la ISO 31010 es la menos citada
Porque no es obligatoria en la mayoría de los marcos regulatorios. OEA la menciona de pasada. C-TPAT no la cita. Eso la convierte en invisible para quien solo cumple requisitos mínimos. Pero para quien quiere construir una evaluación de riesgos que resista preguntas difíciles, es indispensable.
La ISO 31010 también obliga a algo incómodo: elegir la técnica correcta para el escenario correcto. No todas las herramientas aplican a todos los contextos. Un árbol de falla tiene sentido para un proceso industrial con fallas en cascada. Una lista de verificación tiene sentido para una inspección de transporte. Usar la herramienta equivocada produce resultados que parecen rigurosos pero no lo son.
Cómo usarlas juntas en la práctica
- ▸Usa ISO 31000 para estructurar el proceso completo: contexto, identificación, análisis, evaluación, tratamiento.
- ▸Usa ISO 31010 para seleccionar la técnica de análisis que corresponde a cada tipo de riesgo.
- ▸Documenta la elección de técnica y justifica por qué aplica a tu operación específica.
- ▸En auditorías, presenta ambas como marco integrado, no como documentos separados.
Formación profesional
Diplomado en Criminología Corporativa
Lleva lo que lees a la práctica. Formación ejecutiva en protección de activos, investigaciones y gestión de riesgos.
José Luis Prieto Montes
LinkedInCPP · PCI · PSP
Básicamente hago lo mismo que Batman: protejo a la gente y los activos, investigo incidentes y me adelanto a las amenazas… solo que en seguridad corporativa.
Profundiza · Más lectura
¿Qué opinas tú?
Este tema tiene más de una perspectiva válida. Comparte tu experiencia, un caso que hayas visto, o un punto de vista que cuestione lo que está escrito aquí. Las mejores ideas en seguridad corporativa vienen del campo — y ahí es donde estás tú.