En la mayoría de las organizaciones, la gestión de riesgos empieza – y termina – en la matriz de riesgos. Probabilidad, impacto, mapa de calor con zonas rojas… y todos siguen adelante. Pero la calidad de cualquier análisis depende de un paso anterior, muchas veces ignorado incluso por profesionales experimentados: la etapa de alcance, contexto y criterios. Este capítulo profundiza en ese “paso olvidado” que define si la gestión de riesgos será estratégica y coherente… o solo otro ejercicio burocrático.

A partir de las directrices de la ISO 31000, de la orientación de la ISO 31050 sobre riesgos emergentes y resiliencia, y de los insights del Handbook de implantación, mostramos por qué la contextualización es el punto de partida para una gestión de riesgos integrada con la gobernanza, la cultura organizacional y la toma de decisiones. En lugar de tratar el contexto como un adorno en la introducción del informe, lo abordamos como lo que realmente es: el “sistema operativo” que sostiene la identificación, el análisis, la evaluación y el tratamiento de los riesgos.

Hablamos de cómo definir con claridad el alcance del análisis: qué nivel de la organización está en foco, qué decisiones deben ser apoyadas y qué fronteras son relevantes (empresa completa, unidad de negocio, proyecto crítico, cadena de suministro, transformación digital, entre otras). Sin esa definición explícita, el proceso se fragmenta, cada área ve solo una parte y el retrabajo se vuelve inevitable. Luego profundizamos en el contexto externo e interno, y vamos más allá de las listas genéricas: entorno regulatorio, presiones de stakeholders, escenario económico y tecnológico, pero también gobernanza, cultura de riesgos, desempeño histórico, incentivos, conflictos de interés y restricciones que moldean el comportamiento. Aquí el capítulo se conecta con los episodios anteriores sobre cultura de riesgos y apetito de riesgo: no sirve declarar un apetito “moderado” si el contexto real premia decisiones arriesgadas e ignora señales de alerta.

La ISO 31050 amplía esta mirada cuando hablamos de riesgos emergentes. Mostramos cómo la contextualización debe incorporar tendencias, incertidumbres extremas, datos incompletos e interdependencias entre riesgos, especialmente en temas como transformación digital, ciberseguridad, inteligencia artificial, cambio climático y riesgos sociales. El contexto deja de ser estático y pasa a requerir una lectura dinámica, apoyada en inteligencia de riesgos, monitoreo de señales débiles y revisiones periódicas.

Otro foco del episodio es la traducción del apetito de riesgo en criterios operativos. Explicamos cómo las escalas de impacto, las definiciones de probabilidad, los horizontes temporales y los límites de exposición aceptable, así como la diferenciación entre riesgos de integridad, financieros, operativos, reputacionales y estratégicos, funcionan como puente entre la intención de la alta dirección y las decisiones del día a día. Sin criterios claros y documentados, el análisis de riesgos se convierte en un duelo de opiniones; con criterios alineados a la ISO 31000 y a las buenas prácticas de gobernanza, la gestión pasa a ser replicable, auditable y defendible.

A lo largo del capítulo conectamos teoría y práctica con ejemplos y situaciones típicas, ofreciendo insumos para que consejos de administración, comités de riesgos y áreas de seguridad, compliance, auditoría y gestión hablen un mismo idioma. Este episodio es especialmente relevante para profesionales intermedios y avanzados que ya dominan lo básico de la ISO 31000, pero aún subestiman el poder de la contextualización.

Dale al play, reflexiona sobre cómo tu organización ha tratado el contexto… y quizá descubras que el mayor riesgo no está en la matriz, sino en todo lo que se quedó fuera de ella.