01 de julio de 2025
Análisis Comparativo: Estándar de Riesgos del PMI vs. ISO 31000:2018, por Alfonso Kaiser
A. Introducción
La gestión de riesgos es esencial para cualquier organización, ya que permite anticipar, identificar y dar respuesta tanto a las amenazas como a las oportunidades que podrían afectar el logro de sus objetivos. En un entorno empresarial cada vez más complejo y dinámico, donde factores como la volatilidad económica, cambios regulatorios, avances tecnológicos y eventos inesperados pueden surgir en cualquier momento, la capacidad de gestionar riesgos de manera proactiva se convierte en un diferenciador clave. La gestión de riesgos no solo protege a la organización de posibles pérdidas, sino que también le permite capitalizar oportunidades, mejorar la toma de decisiones y asegurar la continuidad operativa. Sin una gestión adecuada de los riesgos, las organizaciones se exponen a una mayor incertidumbre y vulnerabilidad, lo que puede comprometer su sostenibilidad y éxito a largo plazo. A pesar de que el Project Management Institute ha desarrollado sistemáticamente un proceso y es reconocido en la industria como uno de los más aceptados, no es el único enfoque. Por ello, he querido compararlo con otro referente de la industria, la ISO 31000:2018 de riesgos. Esta comparación permite comprender mejor las fortalezas de cada estándar y cómo pueden complementarse para una gestión de riesgos más efectiva.
B. Enfoque General y Estructura
- PMI (PMBOK - Risk Management): Diseñado para la gestión de riesgos en proyectos, programas y portafolios, el estándar del PMI se integra dentro del Project Management Body of Knowledge (PMBOK® Guide), el Estándar de Gestión de Portafolios® y el Estándar Gestión de Programas®. Sigue un enfoque secuencial y detallado, organizando la gestión de riesgos en procesos claros y específicos, incluyendo la identificación, análisis, respuesta y monitoreo de riesgos. Se basa en las mejores prácticas y experiencia de su aplicación en distintas industrias a nivel global No es rígido, por lo que es fácilmente adaptable a las circunstancias, tamaño y entorno. Se basa en la “Entrega de Valor” y en el alineamiento con los objetivos estratégicos de la organización
- ISO 31000:2018: Proporciona directrices genéricas a nivel organizacional, aplicables a cualquier tipo de entidad y en cualquier contexto, lo que lo hace poco aplicable al día a día, con un enfoque conceptual y teórico. También se centra en un enfoque secuencial, pero con marco de referencia no definido, en cuanto a su aplicación.
C. Similitudes
- Los dos estándares no se contraponen. Mientras que el PMI ofrece un enfoque más específico y descriptivo, la ISO 31000 proporciona un marco más amplio y genérico.
- Si se analiza su esencia, en su concepción ambos son muy similares y establecen un plano común.
- El Estándar para la Gestión de Riesgos en Portafolios, Programas y Proyectos del PMI se puede utilizar para toda la organización, puesto que tanto los Portafolios y Programas, abarcan, no solo los proyectos, sino que también las operaciones y es adaptable con la realidad organizacional.
- De la misma manera, las organizaciones pueden utilizar ambos estándares juntos, porque no se contraponen, siendo que el estándar del PMI más específico y de una adopción más práctica que genérica.
D. 4.Objetivos y Ámbito
- PMI: Se enfoca en la gestión de riesgos que afectan directamente la consecución de los objetivos de proyectos, programas y portafolios y por ende los objetivos estratégicos de la organización.
- ISO 31000:2018: Busca integrar la gestión de riesgos en todos los niveles de la organización, alineándola con la gobernanza y estrategia.
E. Procesos de Gestión de Riesgos
- PMI: Define procesos detallados y específicos, a partir de las mejores prácticas, incluyendo herramientas y técnicas para cada fase del proceso de gestión de riesgos. Es adaptativo, hasta cierto punto, en cuanto al proceso y herramientas con respecto a los aspectos específicos de cada organización. Propone el siguiente proceso para la gestión de riesgos, que forman un ciclo continuo que se repite durante todo el ciclo de vida del proyecto para gestionar proactivamente los riesgos y asegurar el éxito del proyecto.:
a. Planificar la Gestión de Riesgos
i. Descripción: Este proceso implica definir cómo se llevarán a cabo las actividades de gestión de riesgos para un proyecto. Se establecen las metodologías, roles y responsabilidades, cronograma, presupuesto y categorías de riesgo.
ii. Salidas clave: Plan de gestión de riesgos.
b. Identificar los Riesgos
i. Descripción: Se enfoca en identificar los riesgos que podrían afectar el proyecto, tanto positivos como negativos. Implica la recopilación de información sobre los riesgos potenciales y la documentación de sus características.
ii. Salidas clave: Registro de riesgos, reporte de riesgos, actualizaciones al plan de gestión del proyecto.
c. Realizar el Análisis Cualitativo de Riesgos
i. Descripción: Este proceso prioriza los riesgos identificados para su análisis o acción posterior evaluando la probabilidad de ocurrencia y el impacto en los objetivos del proyecto. Ayuda a identificar cuáles riesgos requieren atención inmediata.
ii. Salidas clave: Actualizaciones al registro de riesgos, evaluación de la urgencia y categorización de riesgos.
d. Realizar el Análisis Cuantitativo de Riesgos
i. Descripción: Se cuantifican numéricamente los riesgos, analizando su efecto sobre los objetivos del proyecto. Esto suele incluir técnicas como simulaciones, análisis de sensibilidad y modelos probabilísticos.
ii. Salidas clave: Actualizaciones al registro de riesgos, datos sobre la probabilidad y el impacto cuantitativo.
e. Planificar la Respuesta a los Riesgos
i. Descripción: Se desarrollan opciones y acciones para mejorar las oportunidades y reducir las amenazas a los objetivos del proyecto. Este proceso incluye estrategias para riesgos negativos (mitigación, evitación, transferencia, aceptación) y para riesgos positivos (explotación, mejora, compartición, aceptación).
ii. Salidas clave: Plan de respuesta a riesgos, actualizaciones al plan de gestión del proyecto.
f. Implementar la Respuesta a los Riesgos
i. Descripción: En este proceso se ejecutan las respuestas acordadas a los riesgos identificados. Es fundamental para garantizar que las respuestas planificadas realmente se implementen según lo previsto.
ii. Salidas clave: Actualizaciones al plan de gestión del proyecto, registro de lecciones aprendidas.
g. Monitorear los Riesgos
i. Descripción: Este proceso implica el monitoreo continuo de los riesgos, la implementación de planes de respuesta, el seguimiento de riesgos residuales, y la identificación de nuevos riesgos. Asegura que el proceso de gestión de riesgos sea efectivo durante todo el ciclo de vida del proyecto.
ii. Salidas clave: Actualizaciones al registro de riesgos, informes de desempeño, lecciones aprendidas.
2. ISO 31000:2018: La norma ISO 31000:2018 también proporciona un enfoque estructurado para la gestión de riesgos aplicable a cualquier tipo de organización. A diferencia del PMI, que ofrece un enfoque más detallado y específico, la ISO 31000 se centra en principios y un marco general. A continuación se describen los pasos clave del proceso de gestión de riesgos según la ISO 31000:
h. Establecer el Contexto
i. Descripción: Este paso implica definir el entorno interno y externo en el que la organización opera, incluyendo los objetivos, estrategias y criterios de riesgo. Es crucial para asegurar que los riesgos se identifiquen y gestionen en el contexto adecuado.
ii. Actividades clave:
a. Definir los objetivos organizacionales.
b. Identificar las partes interesadas y sus intereses.
c. Determinar los criterios de riesgo (cómo se evaluarán los riesgos).
i. Identificación de Riesgos
i. Descripción: Se enfoca en identificar los riesgos que podrían afectar el logro de los objetivos organizacionales. Este paso incluye la identificación de tanto riesgos negativos como oportunidades (riesgos positivos).
ii. Actividades clave:
a. Identificar fuentes de riesgo, eventos, y sus posibles causas y consecuencias.
b. Crear una lista completa de riesgos relevantes.
j. Análisis de Riesgos
i. Descripción: Este paso implica comprender la naturaleza de los riesgos y sus características, incluyendo la probabilidad y las consecuencias de su ocurrencia. Ayuda a desarrollar una base para evaluar y gestionar los riesgos.
ii. Actividades clave:
a. Evaluar la probabilidad de ocurrencia y el impacto de los riesgos.
b. Considerar la efectividad de los controles existentes.
k. Evaluación de Riesgos
i. Descripción: Se comparan los resultados del análisis de riesgos con los criterios de riesgo establecidos para determinar qué riesgos requieren tratamiento adicional. Esto ayuda a priorizar los riesgos.
ii. Actividades clave:
a. Clasificar los riesgos por nivel de prioridad.
b. Decidir sobre la necesidad de tratar ciertos riesgos.
l. Tratamiento de Riesgos
i. Descripción: Consiste en seleccionar e implementar opciones para abordar los riesgos. Esto puede incluir evitar, mitigar, transferir, o aceptar el riesgo, así como explotar, mejorar, compartir o aceptar oportunidades.
ii. Actividades clave:
a. Desarrollar e implementar planes de tratamiento de riesgos.
b. Asignar responsabilidades para gestionar los riesgos.
m. Monitoreo y Revisión
i. Descripción: Este paso implica la supervisión continua de los riesgos, la eficacia de los controles y el progreso de los planes de tratamiento de riesgos. Es un proceso continuo que asegura la actualización y la relevancia del proceso de gestión de riesgos.
ii. Actividades clave:
a. Revisar la eficacia del tratamiento de riesgos.
b. Monitorear los cambios en el contexto y nuevos riesgos emergentes.
n. Comunicación y Consulta
i. Descripción: Este es un proceso transversal que ocurre en todas las etapas de la gestión de riesgos. Involucra la comunicación y consulta con las partes interesadas internas y externas para asegurar que todos comprendan los riesgos y las decisiones relacionadas.
ii. Actividades clave:
a. Establecer mecanismos de comunicación efectivos.
b. Consultar con las partes interesadas sobre los riesgos y el tratamiento de riesgos.
F. Aplicación Práctica
- PMI: Su especificidad lo hace especialmente útil para gestionar riesgos en proyectos, programas y portafolios, donde se requiere un enfoque detallado y metodológico, aunque puede ser aplicado a nivel organizacional y corporativo en la instancias de Programas y Portafolios. Herramientas que propone el PMI por fase:
a. Planificar la Gestión de Riesgos
i. Técnicas de Análisis de Reuniones
ii. Técnicas de Análisis de Documentación
iii. Juicio de Expertos
iv. Técnicas de Entrevistas
v. Técnicas de Análisis de Factores Ambientales y Activos de los Procesos de la Organización
b. Identificación de Riesgos
i. Técnicas de Tormenta de Ideas (Brainstorming)
ii. Listas de Verificación (Checklists)
iii. Entrevistas
iv. Análisis DAFO (SWOT Analysis)
v. Técnicas de Análisis de Causa Raíz
vi. Técnicas de Diagramación (como Diagramas de Flujo)
vii. Análisis de Supuestos
viii. Análisis de Datos Históricos
ix. Diagrama de Ishikawa (Diagrama de Espina de Pescado)
x. Juicio de Expertos
xi. Técnicas Delphi
c. Realizar el Análisis Cualitativo de Riesgos
i. Evaluación de la Probabilidad e Impacto
ii. Matrices de Probabilidad e Impacto
iii. Evaluación del Tipo de Riesgo (Riesgos individuales vs. Riesgos generales del proyecto)
iv. Evaluación de la Urgencia
v. Técnicas de Clasificación de Riesgos (RBS - Risk Breakdown Structure)
vi. Entrevistas y Juicio de Expertos
vii. Técnicas de Diagramación (como Diagramas de Influencia)
d. Realizar el Análisis Cuantitativo de Riesgos
i. Análisis de Monte Carlo
ii. Técnicas de Simulación
iii. Análisis de Árbol de Decisiones
iv. Análisis de Sensibilidad (como Diagramas de Tornado)
v. Distribución de Probabilidades (Curvas de Probabilidad)
vi. Modelos de Decisión Basados en Sucesos
vii. Técnicas de Valor Esperado (Expected Monetary Value - EMV)
viii. Modelos de Red PERT
ix. Juicio de Expertos
e. Planificar la Respuesta a los Riesgos
i. Estrategias para Riesgos Negativos (Mitigación, Evitación, Transferencia, Aceptación)
ii. Estrategias para Riesgos Positivos (Explotación, Mejora, Compartición, Aceptación)
iii. Análisis Costo-Beneficio
iv. Técnicas de Evaluación de Contingencias
vi. Análisis de Decisiones y Árbol de Decisiones
f. Implementar la Respuesta a los Riesgos
i. Juicio de Expertos
ii. Reuniones de Revisión de Riesgos
iii. Ejecución de Planes de Respuesta a Riesgos
iv. Uso de Reservas de Contingencia
g. Monitorear los Riesgos
i. Análisis de Desempeño de Proyectos
ii. Auditorías de Riesgos
iii. Revisiones de Riesgos
iv. Técnicas de Análisis de Variación y Tendencias
v. Técnicas de Priorización
vi. Registro de Lecciones Aprendidas
vii. Análisis de Reservas
Estas herramientas y técnicas son fundamentales para realizar una gestión de riesgos efectiva según el estándar del PMI, y cada una se puede adaptar y aplicar según las necesidades específicas del proyecto, programa, portafolio u organización.
- ISO 31000:2018: No propone técnicas específicas. Se complementa con la Norma ISO 31.010
G. Conclusión
El estándar del PMI y la ISO 31000:2018 presentan una base común, aunque enfoques distintos en la gestión de riesgos. La ISO 31000:2018 ofrece un marco general y su aplicabilidad práctica puede ser limitada debido a su enfoque más conceptual y amplio.
Por otro lado, el estándar del PMI proporciona un enfoque más específico y práctico, particularmente efectivo en la gestión de riesgos dentro de proyectos, programas y portafolios. Es importante destacar que, dado que los portafolios y programas también abarcan las operaciones, los riesgos del PMI pueden implementarse a lo largo de toda la organización. Este estándar, centrado en la entrega de valor y en el alineamiento estratégico, es especialmente adecuado para ser adoptado como un sistema integral en toda la organización, ofreciendo soluciones prácticas y efectivas en lugar de un mero conocimiento abstracto.
Alfonso Kaiser
MBA, MSc, Ingeniero Naval
PfMP, PgMP, PMP, PMI-RMP, ISO 21500 Auditor