En resumen
Tienes una matriz de riesgo con cuadrantes rojos, amarillos y verdes. Todos los años la actualizas. Y los mismos riesgos siguen ocurriendo. El problema no es la matriz. Es lo que haces con ella.
Por qué importa
Un análisis de riesgo que no cambia nada es un ejercicio de documentación. Útil para el auditor. Inútil para la organización.
La matriz de riesgo es el artefacto más producido y menos utilizado en la gestión de seguridad corporativa. Aparece en presentaciones al consejo, en auditorías de compliance, en reportes anuales. Y luego se archiva hasta el año siguiente, cuando se actualiza con los mismos riesgos en los mismos cuadrantes.
El problema no es la herramienta. Es la forma en que se usa. Una matriz de riesgo que no genera decisiones concretas, que no asigna responsabilidades específicas y que no tiene métricas de seguimiento, no es gestión de riesgo. Es documentación de riesgo. Y documentar un riesgo no lo reduce.
Los errores más comunes en análisis de riesgo
Confundir probabilidad con frecuencia histórica
El hecho de que algo no haya ocurrido en los últimos cinco años no significa que su probabilidad sea baja. Significa que no ha ocurrido en los últimos cinco años. Los eventos de baja frecuencia y alto impacto son exactamente los que los sistemas de riesgo basados en historial tienden a subestimar.
Evaluar riesgos en abstracto
Herramientas profesionales
Explora las herramientas creadas para fortalecer la seguridad y la prevención en las organizaciones.
Un riesgo evaluado sin contexto operativo específico produce estimaciones que no reflejan la realidad. La probabilidad de un fraude en nómina en una empresa con segregación de funciones y auditorías mensuales es muy diferente a la de una empresa sin esos controles. La misma categoría de riesgo, niveles completamente diferentes.
No actualizar después de los incidentes
Cada incidente es información sobre la realidad del riesgo. Una empresa que no actualiza su análisis de riesgo después de un fraude está ignorando la evidencia más valiosa que tiene.
Cómo hacer un análisis de riesgo que funcione
- ▸Involucra a las personas que trabajan en la operación, no solo al equipo de seguridad.
- ▸Evalúa el riesgo residual después de los controles existentes, no el riesgo inherente.
- ▸Asigna un responsable y una fecha a cada riesgo identificado como prioritario.
- ▸Define métricas de seguimiento que permitan saber si el riesgo está aumentando o disminuyendo.
- ▸Revisa trimestralmente, no anualmente.
Formación profesional
Diplomado en Criminología Corporativa
Lleva lo que lees a la práctica. Formación ejecutiva en protección de activos, investigaciones y gestión de riesgos.
José Luis Prieto Montes
LinkedInCPP · PCI · PSP
Básicamente hago lo mismo que Batman: protejo a la gente y los activos, investigo incidentes y me adelanto a las amenazas… solo que en seguridad corporativa.
Profundiza · Más lectura
¿Qué opinas tú?
Este tema tiene más de una perspectiva válida. Comparte tu experiencia, un caso que hayas visto, o un punto de vista que cuestione lo que está escrito aquí. Las mejores ideas en seguridad corporativa vienen del campo — y ahí es donde estás tú.