En España, el 99,2% de las empresas industriales son pymes, y la plantilla media del sector se sitúa en torno a 14 personas. En una empresa de ese tamaño no suele plantearse la implantación de una ISO 9001, salvo que un cliente importante la exija. El coste de implantación y el retorno previsto no compensan, según el criterio del propietario, que casi siempre es también gerente, responsable comercial y jefe de taller. En estas empresas, la gestión del riesgo no está en ningún sistema. Está en la cabeza de una persona, que decide por experiencia y que muchas veces acierta, pero sin método que sostenga la decisión cuando esa persona no está.

Por encima de ese tamaño, en empresas de hasta unos 150 trabajadores, la situación cambia. Aquí la norma sí existe, y es donde ISO 31000 podría aportar más. También es donde menos se aplica de verdad.

ISO 31000:2018 no es una norma de certificación. Es un marco de gestión con un objetivo concreto: integrar la gestión del riesgo en la gobernanza, la estrategia, la planificación y los procesos de la organización, como función permanente de dirección y no como ejercicio puntual. El proceso que describe sigue varios pasos: establecer el contexto, identificar riesgos, analizarlos, evaluarlos, tratarlos, hacer seguimiento y comunicarlos. Ninguno de esos pasos pertenece a un solo departamento. Todos requieren visión transversal y criterios compartidos.

Cómo se gestiona el riesgo en la práctica

En una pyme industrial con cierta estructura, cada función-departamento gestiona sus riesgos con sus propios criterios y ritmos. Calidad establece los criterios de aceptación del producto y sus controles, gestiona no conformidades, reclamaciones y auditorías. Prevención mantiene la evaluación de riesgos laborales que la ley exige, a menudo a través de un servicio externo. Producción sigue averías, variabilidad y retrabajos. Compras evalúa proveedores cuando el cliente lo requiere. Administración gestiona tesorería y cobros.

Cada uno de estos ámbitos tiene su registro, su criterio de prioridad y su responsable. El trabajo de cada área, por separado, suele estar bien hecho. Lo que falta es alguien que reúna la información y la mire como un conjunto.

La norma como marco, la realidad como cumplimiento

Para las empresas de este tramo, la ISO funciona en el mejor de los casos como un marco bajo el que operar, un conjunto de sistemáticas que define cómo se hacen las cosas. El problema aparece en cómo se vive ese marco dentro de la organización.

Cada departamento trabaja con dos lógicas a la vez. Por un lado hace las actividades necesarias para que la operación funcione. Por otro, atiende a lo que la norma pide, con la vista puesta en la auditoría. La segunda lógica rara vez nace de la convicción. Responde a evitar una no conformidad cuando llegue el auditor. El resultado es que cada área se ocupa de cumplir su parte de la carga y poco más. No hay incentivo para mirar fuera del propio departamento, porque la norma se evalúa por partes, cada responsable responde de la suya y, con frecuencia, los departamentos tienden a ser lo suficientemente estancos para preservar la autonomía de su operación.

Conviene situar esto en su sitio. No es un defecto de las personas. Es la consecuencia de cómo está montado el sistema. La estructura premia el cumplimiento por área y no ofrece a nadie la responsabilidad ni el tiempo de gobernar el riesgo como un todo. Las personas responden al incentivo que tienen delante.

Con ISO 31000 ocurre lo mismo, con un matiz que agrava el efecto. La carga de aplicarla suele recaer sobre Calidad. Y Calidad, en una empresa de este tamaño, gestiona su propio ámbito con solvencia, pero no siempre tiene la posición ni la perspectiva general para valorar los resultados de un sistema que debería abarcar toda la organización. Se le asigna la responsabilidad de un riesgo transversal a quien ocupa una función concreta. La norma queda documentada y poco operativa.

Lo que la estructura no permite ver

ISO 31000 propone que el contexto se establezca a nivel de organización, que la identificación de riesgos sea transversal, que la evaluación use criterios homogéneos y que el tratamiento tenga responsable, plazo y seguimiento. La estructura funcional habitual va por otro camino.

Cuando Calidad detecta una desviación en un proceso, esa desviación no siempre se conecta con una dependencia de proveedor que Compras venía observando desde hacía semanas. Cuando Producción acumula retrabajos por un cambio de ingeniería mal absorbido, ese dato no siempre se vincula con la tensión de tesorería que Administración gestiona en paralelo. Cada área ve su parte y registra su parte. El riesgo que se forma entre dos áreas, en el espacio que ninguna gobierna, no aparece completo en ningún registro.

Una empresa puede tener todas sus áreas bien gestionadas por separado, sistemas implantados y registros al día, y seguir sin saber qué riesgos la amenazan de verdad. La información existe, pero está repartida y nadie la consolida. ISO 31000 describe el sistema que haría falta. Lo que no resuelve es el problema de organización que impide aplicarlo.

El coste de no tener esa visión

Mientras la operación va bien, esta forma de trabajar pasa desapercibida. El coste aparece cuando algo cambia. Entra un cliente nuevo con exigencias distintas, sube el volumen, falla un proveedor único o se va la persona que sostenía una parte del conocimiento. En ese momento, el riesgo que viajaba entre departamentos sin registro se materializa. Llega en forma de reclamación de cliente, parada de línea, bloqueo de material o pérdida de un contrato. La organización descubre tarde que estaba gestionando conformidad por áreas en lugar de gobernar el riesgo como sistema.

La diferencia entre una empresa que ve venir esa situación y una que la recibe de golpe no está en la norma que tenga implantada. Está en si alguien, con la perspectiva y el mandato necesarios, asume la visión de conjunto como una responsabilidad explícita. Sin esa función, ISO 31000 sigue siendo un buen documento. Y un documento, por sí solo, no detecta nada.