RiskNote
Guía

Cómo realizar una evaluación de riesgos

Una evaluación de riesgos no tiene por qué ser complicada. Esta guía paso a paso le permitirá elaborar su primera evaluación de riesgos en una tarde, tanto si es el director general de una empresa de 15 personas como si es un consultor que trabaja para un cliente.

By Kim Borg, Founder, RiskNote · Last updated

¿Qué es una evaluación de riesgos?

Una evaluación de riesgos es un proceso estructurado para identificar los riesgos que pueden afectar a sus objetivos, valorar su gravedad y decidir qué hacer al respecto. El proceso central es el mismo independientemente de si se evalúa la ciberseguridad, la seguridad laboral, el riesgo de un proyecto o el riesgo empresarial.

El estándar mundial para la gestión de riesgos es ISO 31000:2018. Describe un proceso genérico (identificar, analizar, evaluar, tratar y monitorizar) que funciona para cualquier organización y cualquier tipo de riesgo. No es certificable, pero es la referencia sobre la que se construyen otros estándares (ISO 27001, NIS2, DORA).

Evaluación de riesgos laborales — AFS 2001:1 y SAM

En Suecia, la gestión sistemática del entorno de trabajo (SAM) está regulada por las normativas de la Autoridad Sueca de Entorno de Trabajo AFS 2001:1. El empleador está obligado a investigar, evaluar, tratar y hacer seguimiento del entorno de trabajo de forma continua, no como un proyecto puntual, sino como un ciclo permanente.

La evaluación de riesgos debe ser por escrito (cuando la empresa tenga más de diez empleados), revisarse al menos anualmente y siempre antes de cambios sustanciales: nuevos equipos, nueva organización, nuevas tareas, traslados o adquisiciones que afecten al trabajo.

  • Investigar

    Mapear las condiciones de trabajo. Las rondas de seguridad, las encuestas a empleados, las estadísticas de bajas laborales y los registros de incidentes son fuentes habituales.

  • Evaluar

    Valorar cada riesgo identificado según su probabilidad y gravedad. Deben cubrirse los riesgos físicos, ergonómicos, químicos, biológicos, psicosociales y organizacionales.

  • Tratar

    Plan de acción escrito con la medida, el responsable, el plazo y el seguimiento. Todo aquello que no se subsane de inmediato debe incorporarse al plan.

  • Hacer seguimiento

    Verificar que las acciones se llevaron a cabo y tuvieron el efecto previsto. Revisar la evaluación ante cualquier cambio o, como mínimo, anualmente.

La participación del delegado de prevención es obligatoria. Si la empresa cuenta con un delegado de prevención, debe ser incluido en la evaluación (Ley del Entorno de Trabajo de Suecia, cap. 6 § 4). La documentación debe estar disponible para su inspección por parte de la Autoridad de Entorno de Trabajo.

Los riesgos laborales y los riesgos de seguridad de la información se solapan con frecuencia (p. ej., estrés durante incidentes, requisitos del GDPR sobre la vigilancia en el lugar de trabajo). Una evaluación integrada ahorra tiempo, pero requiere experiencia multifuncional.

Paso 1. Preparación

  • Respaldo de la dirección

    Una evaluación de riesgos sin el apoyo de la dirección se convierte en un documento que nunca se lee. Asegúrese de que alguien en la dirección sea responsable del proceso. Una política de gestión de riesgos de una página firmada por el director general es suficiente.

  • Definir el alcance

    ¿Qué se va a evaluar? ¿La empresa entera, un área específica, un proyecto, un proceso concreto (p. ej., el tratamiento de datos personales)?

  • Definir la tolerancia al riesgo

    ¿Qué riesgos está dispuesto a aceptar? ¿Cuáles requieren acción? Establezca tres o cuatro niveles (p. ej., puntuación 1–3 = aceptar, 4–7 = vigilar, 8–14 = plan de acción, 15–25 = acción inmediata).

  • Reunir a las personas adecuadas

    Una evaluación de riesgos realizada por una sola persona refleja la opinión de una sola persona. Invite a entre 3 y 6 personas clave con perspectivas diferentes: operaciones, finanzas, TI y gestión de clientes.

Paso 2. Identificar los riesgos

Este es el paso más importante. Un riesgo no detectado es más peligroso que uno mal valorado.

Algunas técnicas para la identificación de riesgos:

  • Lluvia de ideas estructurada

    Reúna al grupo y recorra área por área del negocio. Pregunte: «¿qué puede salir mal aquí?»

  • Sugerencias de IA como punto de partida

    Herramientas como RiskNote utilizan inteligencia artificial para sugerir 5 riesgos relevantes para el sector por análisis. Útil para detectar riesgos que nunca se habían considerado.

  • Revisar incidentes anteriores

    ¿Qué ha salido mal antes? ¿En su organización, en la competencia, en el sector?

  • Consultar listas estándar

    ISO 27005 incluye catálogos de riesgos típicos de seguridad de la información. Las normativas de seguridad laboral recogen ejemplos de riesgos en el lugar de trabajo. Úselos como listas de verificación.

  • Revisión de procesos

    Recorra un proceso crítico (p. ej., facturación, contratación, operaciones de sistemas) paso a paso y pregunte: «¿qué puede salir mal aquí?»

Paso 3. Analizar los riesgos

Para cada riesgo identificado, evalúe la probabilidad y las consecuencias. La práctica estándar es una matriz 5×5 (probabilidad 1–5 × consecuencia 1–5 = puntuación 1–25).

Lo fundamental es aplicar la escala de forma coherente. Defina cada nivel desde el principio para que todos los evaluadores partan del mismo criterio.

  • Probabilidad 1–5

    1 = rara (una vez cada 10 años), 3 = posible (una vez cada 2–3 años), 5 = casi segura (varias veces al año).

  • Consecuencia 1–5

    1 = insignificante (se gestiona en las operaciones habituales), 3 = moderada (requiere intervención de la dirección), 5 = catastrófica (amenaza existencial).

  • Evaluar en grupo

    La valoración de una sola persona es subjetiva. En grupo se obtiene matiz y consenso.

  • Documentar el razonamiento

    Escriba una línea explicando por qué se eligió un determinado valor de P y C. Facilita la revisión posterior.

Paso 4. Evaluar y priorizar

Una vez que cada riesgo tiene una puntuación, compárela con su tolerancia al riesgo. Los riesgos críticos (p. ej., puntuación 15–25) requieren un plan de acción inmediato. Los riesgos altos (8–14) necesitan una respuesta estructurada. Los medios y bajos pueden monitorizarse.

Preste atención a los cisnes negros, riesgos de baja probabilidad pero consecuencias catastróficas (P=1, C=5 da una puntuación de 5, que parece baja pero puede ser existencial). Aplique juicio cualitativo, no solo la puntuación numérica.

Paso 5. Tratar los riesgos

  • Aceptar

    El riesgo está dentro de la tolerancia. Documente y continúe.

  • Reducir (mitigar)

    Adopte medidas para reducir la probabilidad o las consecuencias. Es la opción más habitual. Documente la acción, el responsable y el plazo.

  • Transferir

    Seguros, externalización o cláusulas contractuales que trasladen el riesgo. Nota: algunos riesgos (p. ej., reputacionales) no pueden transferirse.

  • Evitar

    Descartar la actividad que genera el riesgo. En ocasiones es la única opción razonable.

Paso 6. Monitorizar y revisar

Los riesgos evolucionan. Aparecen nuevos, los antiguos dejan de ser relevantes y las acciones modifican el panorama. Una evaluación de riesgos es perecedera.

Práctica recomendada: revisión trimestral para riesgos operacionales, anual para riesgos estratégicos. Los riesgos de proyecto se actualizan por sprint o reunión de seguimiento. Ante cambios importantes (nuevo proveedor, cambio normativo, migración de sistemas), siempre se debe iniciar una nueva ronda.

Preguntas frecuentes sobre la evaluación de riesgos

¿Cuánto tiempo lleva una primera evaluación de riesgos?

Para una pyme: entre 2 y 4 horas para la primera ronda de identificación y valoración, más 1 o 2 horas para la planificación de acciones. En total, media jornada laboral para una persona competente que conozca bien el negocio.

¿Es necesario contratar a un consultor de riesgos certificado?

No para una evaluación interna. Para certificaciones (ISO 27001, ISO 9001) o dominios especialmente complejos (DORA para el sector financiero, DPIA del GDPR para tratamientos de alto riesgo), la experiencia externa puede ser de gran valor.

¿Es obligatoria la matriz 5×5?

No. ISO 31000 no prescribe ningún tamaño de matriz. La matriz 5×5 es la práctica más extendida. La 3×3 resulta demasiado gruesa para la mayoría de los casos. Algunas organizaciones utilizan matrices 7×7 o categorías cualitativas en lugar de escalas numéricas.

¿Cuál es la diferencia entre un riesgo y un problema?

Un riesgo es algo que podría ocurrir en el futuro. Un problema es algo que ya ha ocurrido. Los riesgos se gestionan mediante la evaluación de riesgos. Los problemas se gestionan mediante la gestión de incidentes. Ambos procesos son necesarios.

¿Se deben evaluar los riesgos antes o después de la mitigación?

Ambos. El riesgo bruto (antes de la mitigación) muestra el alcance del daño potencial sin controles, lo cual es importante para justificar la inversión. El riesgo neto o riesgo residual (después de la mitigación) refleja la situación real. Las organizaciones certificadas según ISO 27001 deben disponer de ambos.

More guides

How to do a risk analysis (2026)

Complete pillar guide: method, frameworks, template, tools.

Read guide

How to conduct a risk analysis

Seven steps from blank page to a working risk register.

Read guideBlog

A risk assessment in one afternoon

Practical walkthrough with a concrete example and time savings.

Read article

Omita la fase de Excel

RiskNote convierte los pasos 1 a 6 en un proceso estructurado. Primera evaluación lista en una tarde. Inicie una prueba gratuita hoy mismo.

    Evaluación de riesgos en 5 pasos: guía práctica (2026) | RiskNote