El riesgo siempre ha formado parte de la sociedad humana en general y del mundo empresarial en particular. Ahora, los estándares orientados para crear un lenguaje y un enfoque comunes para la gestión de riesgos empresariales tienen como objetivo minimizar esos riesgos.

By Kathy Hunt

Mar 19, 2026

Desde que los seres humanos trabajan se han enfrentado a los peligros del entorno laboral y a la mitigación de las lesiones y las pérdidas. Antes de erigir pirámides para los faraones, los antiguos egipcios evaluaban la resistencia del material, la mano de obra y las condiciones ambientales para reducir la probabilidad de que las enormes estructuras colapsaran. Antes de zarpar, los antiguos comerciantes chinos repartían sus mercancías entre varios barcos para reducir la posibilidad de que todo su inventario se perdiera en el mar. Mientras tanto, para protegerse de las pérdidas debidas a robos o accidentes, los comerciantes de la antigua Babilonia (el actual Irak) crearon seguros sencillos para proteger sus bienes. Lo que todas estas civilizaciones trataban de hacer era gestionar el riesgo. 

Durante la Edad Media, las amenazas por piratería, mal tiempo y enfermedades se cernían sobre el comercio marítimo europeo. Utilizando pruebas empíricas, los comerciantes de la época comenzaron a cuantificar sus riesgos y a establecer gremios y firmar contratos de seguro para proteger sus medios de subsistencia. 

En el mundo empresarial de hoy, los estándares desempeñan un papel fundamental en la minimización del riesgo. Y los nuevos estándares del comité de aplicaciones de seguridad nacional (E54) tienen como objetivo crear un lenguaje y un enfoque comunes para la gestión de riesgos empresariales con el objetivo de minimizar esos riesgos.

La gestión de riesgos moderna

En 1963, Robert Mehr y Bob Hedges publicaron su trascendental libro, La gestión de riesgos en la empresa comercial. Considerados por muchos estudiosos como los padres de la gestión de riesgos, los autores hicieron hincapié en que los riesgos debían gestionarse de manera integral y no solo debían estar asegurados, como se había hecho hasta ese momento. 

En el libro, Mehr y Hedges describieron cinco pasos para implementar la gestión de riesgos: identificar posibles amenazas, medir el tamaño de la amenaza, evaluar las posibles reacciones, elegir la respuesta adecuada y supervisar el resultado. El seguir estos pasos ayudaría a las empresas a aceptar, transferir y reducir el riesgo. 

Se suele decir que la gestión de riesgos tradicional no es integral. Esta se centra en el riesgo de departamentos aislados (por ejemplo, accidentes en las líneas de montaje) y no en la organización en su conjunto. Por lo general, con la gestión de riesgos, las amenazas ya están detectadas y el objetivo es minimizar sus efectos en una parte específica de la empresa. Los detractores del enfoque sostienen que si se adopta este enfoque aislado y se alivian los problemas en un solo ámbito podrían producirse consecuencias no deseadas en otros ámbitos. 

A diferencia de la gestión de riesgos tradicional, la gestión de riesgos empresariales (GRE) analiza las posibles dificultades en toda la organización. El concepto en sí surgió en la década de 1990, después de que muchas quiebras corporativas de alto perfil generaran pérdidas evitables. Durante este tiempo, también surgió un énfasis cada vez mayor en la satisfacción de los accionistas, lo que dio un impulso adicional a la introducción de la GRE. 

Al reconocer las interdependencias que existen dentro de una empresa, la GRE coloca la gestión de riesgos en un marco común. Esto permite a las organizaciones detectar, evaluar, supervisar y comunicar todas las facetas del riesgo, como los aspectos financieros y de salud y seguridad ocupacional, en todas sus empresas. Las ayuda a determinar cómo ser más resilientes. También aporta información sobre cómo pueden beneficiarse de asumir riesgos calculados. 

“La GRE analiza el panorama general. ¿Cómo inculcan las organizaciones la resiliencia y la continuidad? Para ser resiliente, hay que tener en cuenta todos los aspectos del riesgo dentro de una empresa y equilibrar la exposición al riesgo con las restricciones financieras”, afirma Phillip Selleh, miembro del subcomité de continuidad de las operaciones de E54 (E54.02). 

Estandarización del enfoque del riesgo empresarial

En los últimos años, en los que las organizaciones de todo el mundo se enfrentan a desafíos más complejos y frecuentes, como las interrupciones de la cadena de suministro, la volatilidad financiera y las amenazas a la seguridad física y la ciberseguridad, ha aumentado la necesidad de contar con un enfoque integral y proactivo del riesgo. Como consecuencia, campos tan diversos como los de la educación, las finanzas y la fabricación han comenzado a introducir políticas y procedimientos de GRE en sus lugares de trabajo. 

“Al analizar los diferentes sectores del gobierno y de las empresas, hay diferentes organizaciones que están tratando de establecer políticas, planes y procedimientos adecuados de GRE, pero no lo hacen de la misma manera”, afirma Tim Stickler, miembro del E54. “Vimos esa falta de estandarización y reconocimos que todos los sectores se beneficiarían de tener una práctica estándar”. 

Para crear un lenguaje y un enfoque comunes para la integración de la GRE, el subcomité de continuidad de las operaciones publicó recientemente la práctica estándar para la gestión de riesgos empresariales (E3502). El nuevo estándar, según declara, ofrece “un enfoque estructurado, sistemático e integrado para detectar, evaluar, mitigar, supervisar y notificar los riesgos en todas las funciones organizacionales”. 

El estándar ayuda a garantizar que la gestión de riesgos enriquezca la toma de decisiones, cree una cultura consciente de los riesgos en el lugar de trabajo, refuerce el cumplimiento normativo y proporcione una contribución general significativa para la resiliencia operativa. Esté está alineado con los requisitos reglamentarios, las estructuras administrativas y las prácticas recomendadas de la industria.

“Todos los estándares deben mencionar el riesgo de alguna manera, porque el riesgo afecta prácticamente todo lo que hacemos”, afirma el Dr. John Bridges III, miembro del comité de solicitudes de seguridad nacional del E54. “Si estás pensando en hacer una transición profesional, ¿cuáles son los riesgos de dar ese salto? Si llevas a tu mascota entrada en años al veterinario, ¿superan los riesgos que implica un procedimiento a los beneficios? Pequeñas cosas como esas, que damos por sentadas, forman parte del enfoque basado en el riesgo”. 

“En el E3502, reunimos diferentes tipos de recursos y referencias para poder contar con un enfoque sistémico para pensar en el riesgo”, continúa. “Este aporta información y consideraciones adicionales para crear iniciativas de gestión de riesgos. El estándar podría servir como punto de referencia para decir que ahora tenemos una herramienta que aborda nuestros problemas de riesgo en varios ámbitos”.

Factores de riesgo de PESTEL 

Pregunte a sus amigos, familiares o incluso a desconocidos cuál creen que es la mayor amenaza para las empresas en la actualidad y es probable que mencionen los ciberataques. Por más impactantes que puedan ser esos incidentes, la piratería informática no es el único elemento de riesgo tecnológico.

“Todas las empresas deben analizar detenidamente sus políticas, programas, procedimientos y salvaguardas de seguridad de TI, porque la TI cambia muy rápido. Los avances en la tecnología, el uso de Internet y ahora la IA son herramientas tremendamente potentes y útiles que pueden ser muy beneficiosas para la humanidad”, afirma Stickler. “Pero si la gente recibe información falsa o que solo es parcialmente correcta y obtiene esa información con solo pulsar unas teclas, eso es un problema. Por eso la ciberseguridad y la seguridad de TI son tan importantes en la actualidad”. 

La protección de la propiedad intelectual es fundamental, pero también existen otros peligros importantes. Al crear la práctica estándar para la gestión de riesgos empresariales, los miembros del subcomité tuvieron en cuenta los factores de riesgo políticos, económicos, socioculturales, tecnológicos, ambientales y legales (PESTEL, por sus siglas en inglés) para las organizaciones. En el pasado, era posible que la inestabilidad en cualquiera de esos sectores no afectara la productividad y el bienestar financiero de una organización. Ya no es así. 

Pensemos, por ejemplo, en los incendios forestales de 2025 que asolaron Los Ángeles, California. Según el Departamento de Oportunidades Económicas del Condado de Los Ángeles (LACDEO), el incendio destruyó más de 16 000 estructuras, incluidos 200 edificios comerciales y 100 escuelas. La atención médica, los servicios científicos y técnicos, el comercio minorista, la educación y la construcción estuvieron entre las industrias más afectadas por esta catástrofe. Según proyecciones del LACDEO, la pérdida de producción económica del condado osciló entre los USD 5200 millones y los USD 10 100 millones. En general, el costo de los daños causados por los incendios forestales de ese mes se estimó en USD 53 000 millones. 

Para ayudar a planificar la respuesta ante los fenómenos meteorológicos extremos, el cambio climático y las perturbaciones resultantes, el E3502 incluye un apéndice con un análisis de los factores de riesgo ambientales. Destaca las funciones empresariales, las consideraciones de riesgo clave, el contexto del sistema organizacional y las estrategias de mitigación, como el análisis del impacto ambiental y la preparación ante catástrofes. Se proporciona la misma evaluación para los demás factores de riesgo PESTEL. 

“La terminología de los factores PESTEL existe desde hace mucho tiempo, pero en el pasado, los factores ambientales, políticos, sociales y tecnológicos no solían afectar a las organizaciones, o no mucho”, dijo Selleh. “En el entorno actual, los factores políticos y sociales se están convirtiendo en factores de gran influencia en las organizaciones. Se deben analizar esos distintos aspectos y reaccionar ante los efectos de la geopolítica en la cadena de suministro y los efectos del cambio social en la organización. Hay que tener en cuenta el riesgo”.

Desde el punto de vista de los factores PESTEL, el riesgo político se refiere a la estabilidad política, los niveles de burocracia, los aranceles e impuestos comerciales y las tendencias de regulación y liberalización de un país, así como su libertad de prensa, estado de derecho y corrupción. En PESTEL, el riesgo sociocultural se divide en tres categorías: demográfico, social/cultural y el relacionado con las creencias o actitudes. Factores, como el crecimiento de la población, la estructura de clases sociales, las disparidades de ingresos, la religión y las tradiciones pertenecen a estos grupos. 

Influencia de otros estándares

Además de considerar los factores PESTEL al crear el estándar, el subcomité también examinó los estándares existentes sobre la gestión de riesgos. “Queríamos ver qué herramientas aisladas existían y unirlas para que estuvieran todas bajo el mismo marco de GRE”, afirma Selleh. 

Una de ellas fue la norma ISO 31000: directrices de gestión de riesgos. Las directrices, publicadas por la Organización Internacional de Estandarización (ISO) en 2009 y actualmente en proceso de revisión, proporcionan un marco estructurado para llevar a cabo los procesos de riesgo. La norma ayuda a identificar, analizar y desarrollar tratamientos para el riesgo. Sin embargo, no se aplica al riesgo empresarial. 

“Muchas personas consideran que la norma ISO 31000 es el estándar sobre la gestión de riesgos. Sin embargo, no tienen en cuenta las distintas cosas que se relacionan con la norma en sí, desde el contenido hasta el contexto”, afirma Bridges. “La norma ISO 9000 sobre los sistemas de gestión de la calidad y la norma ISO 14000 sobre los sistemas de gestión ambiental son ejemplos de aspectos que influyen en los estándares y que debemos tener en cuenta al intentar crear un estándar para la gestión de riesgos empresariales”.

Además de la norma ISO 31000, el subcomité incorporó en E3502 información de la norma ISO 37000: gobernanza de las organizaciones. Selleh señala que para tener un buen sistema de GRE, se necesita un buen sistema de gestión. Después de todo, es lo que rige a la organización en su totalidad. Agregó que el subcomité también consultó estándares de la Unión Europea y del Instituto Nacional de Estándares y Tecnología (NIST) centrados en la gestión de la información y la ciberseguridad. 

Stickler dijo que los estándares ASTM de los subcomités sobre seguridad física y electrónica (E54.05), robots de respuesta (E54.09) y detección y protección de materiales químicos, biológicos, radiológicos, nucleares y explosivos (CBRNE) (E54.01) también son importantes. 

“Sin embargo, cuando veo esos otros subcomités, veo que sus misiones son diferentes”, dijo. “Mientras que, en E54.02, analizamos lo que es necesario desde una perspectiva organizacional”. 

Recomendaciones para implementar la GRE 

Como ocurre con todos los estándares consensuados, la práctica estándar sobre la gestión de riesgos empresariales no estipula cómo deben las organizaciones llevar a cabo la GRE, sino que trata de lo que deben tener en cuenta a la hora de implementarla. Una recomendación es crear “propietarios de riesgos” en las organizaciones. Estos empleados supervisan los riesgos en sus respectivos ámbitos y se aseguran de que estén en consonancia con los objetivos estratégicos de la organización y con su propensión y tolerancia al riesgo. 

Otra sugerencia es utilizar técnicas tanto cualitativas como cuantitativas para analizar la probabilidad de riesgo y las posibles repercusiones en torno a él. Con esto también se relaciona el establecimiento de indicadores clave de riesgo (KRI), mecanismos de notificación y procedimientos de escalamiento, que servirán para supervisar la eficacia de los controles de riesgo existentes y detectar nuevas amenazas. 

Además, al establecer un marco de GRE, las organizaciones deben poder realizar evaluaciones periódicas comparando su situación con las prácticas recomendadas, los puntos de referencia y los modelos de madurez de la industria. Este compromiso con la mejora continua les permite aumentar su comprensión del riesgo, optimizar los niveles de riesgo y fortalecer la resiliencia organizacional. 

El estándar se puede utilizar con organizaciones de todos los tamaños y ámbitos, tanto del sector público como del sector privado. Se creó para respaldar la gestión de riesgos financieros, operativos, estratégicos, tecnológicos, legales, ambientales, de cumplimiento y de reputación. 

“Con la cantidad de incidentes que se producen, ahora es el momento de analizar su organización desde la perspectiva de la GRE. Consulte el E3502 y elimine las divisiones para crear un enfoque de GRE”, dijo Selleh. “Ese será el camino hacia la resiliencia de las organizaciones”. 

Él agregó que el subcomité de continuidad de las operaciones espera encuestar a miembros de distintos sectores sobre cómo abordan la GRE. Esta información permitirá al subcomité fortalecer este y otros estándares ASTM.

Recommended Articles

Mitigación del riesgo