Solicitar Diagnóstico

Simuladores – Test Aislado
0%
00Inicio
01ISO 31000
02Conceptos
03Tratamiento
04Controles
04Planes de Contigencia
Módulo 1 · Página 2 de 4 · ISO 31000 · RISK Framework
📐 Capítulo 2 · Conceptualización del Riesgo

Medir el riesgo
con precisión científica

En la Página 1 conociste el dragón. Ahora aprendes a pesarlo y ubicarlo en el mapa. La fórmula R = P × I × V transforma la percepción subjetiva en inteligencia estratégica que la Alta Dirección puede usar para decidir.

🧮 R = P × I × V 🗺️ Mapa de calor D3.js 🏛️ Arquitectura RISK 5 capas 📊 Simulador interactivo 🏷️ 7 tipos de riesgo
🧭 Continuación del Inicio · Página 1

El Gerente C sabía algo
que los otros no sabían medir

En la Página 1 conociste tres gerentes ante el mismo incendio. El Gerente C respondió en 20 minutos. ¿Por qué? Porque no solo identificó el riesgo — lo midió. Tenía un número: conocía la Probabilidad, el Impacto y la Vulnerabilidad de sus controles.

Esta página te enseña a calcular ese número con la precisión que los estándares internacionales exigen.

El corazón de la medición · RISK Framework

La Fórmula del Riesgo: R = P × I × V

Adoptada por los marcos RISK, ISO 31000 y COSO ERM. Convierte la incertidumbre en un número que cualquier directivo puede entender, comparar y usar para tomar decisiones de tratamiento.

Fórmula Estándar · RISK Framework / ISO 31000 / COSO ERM

R
Riesgo Total
=
P
Probabilidad
×
I
Impacto
×
V
Vulnerabilidad
P · Probabilidad (1–5)
¿Qué tan probable es que ocurra el evento? Escala: 1=Rara · 3=Posible · 5=Casi Cierta. Se estima con datos históricos, juicio experto o análisis de tendencias del sector.
I · Impacto (1–5)
¿Qué tan severas serían las consecuencias? Considera dimensiones financiera, operativa, legal y reputacional. Escala: 1=Insignificante · 5=Catastrófico para la organización.
V · Vulnerabilidad (0.1–1.0)
Factor de debilidad de controles. V=1.0: sin controles. V=0.1: controles muy robustos, 90% de reducción. Actúa como multiplicador residual.

R_inherente = P × I × 1.0  ·  R_residual = P × I × V  ·  Ejemplo: P=4, I=5, V=1.0 → R_inh=20 🔴Con V=0.3 → R_res=6.0 🟡

📌 Escenario real: Una empresa farmacéutica depende de un único proveedor de principio activo. La región tiene historial de conflictos laborales (P=4). Una interrupción paralizaría toda la producción (I=5). No existe plan de contingencia. ¿Qué componente de R=P×I×V tiene el mayor margen de mejora?

"Sin un número, cualquier conversación sobre riesgo ante la Junta Directiva es solo una opinión. Con R = P × I × V en la mano, ya no discuto percepciones: defiendo datos. Eso cambió completamente el peso de mi rol en la organización."

— Chief Risk Officer · Grupo empresarial multinacional latinoamericano

Conceptos Clave · ISO 31000

Riesgo inherente vs. riesgo residual

La V de la fórmula es el puente entre ambos. Entender esta diferencia define cuánto invierten las organizaciones en controles y cómo justifican esa inversión ante la Junta Directiva.

⚠️

Riesgo Inherente

R_inh = P × I × 1.0

La exposición bruta antes de cualquier control. V=1.0 porque no existe ninguna barrera. El "dragón en su tamaño real": sin escudo ni armadura.

Línea base para cuantificar el valor que deben aportar los controles y justificar su costo ante la Junta.

V = 1.0 · Sin controles
🛡️

Riesgo Residual

R_res = P × I × V

Lo que permanece después de los controles. V=0.3 significa que los controles absorben el 70% del riesgo inherente.

Si el residual supera el apetito definido, se requieren controles adicionales o revisión de la estrategia de tratamiento.

V < 1.0 · Con controles activos
🧮 Simulador: Inherente vs. Residual
Mueve los tres sliders y observa cómo los controles transforman el riesgo inherente en residual en tiempo real.
P · Probabilidad 3
Posible
I · Impacto 4
Mayor
Efectividad Control 0%
0% sin control · 90% máximo
⚠️ Riesgo Inherente
12/ 25
🛡️ Riesgo Residual
12/ 25
Reducción por controles 0%
Mueve el slider de Efectividad para ver el impacto de los controles →
Ejemplo · Proveedor único farmacéutico
Sin control: P=4 × I=5 × V=1.0 = R_inh = 20 🔴 Crítico
Con 2do proveedor + plan contingencia (efect. 70%): R_res = 20 × 0.30 = 6.0 🟡 Moderado ✓ Dentro del apetito
Reducción del 70% — de zona Crítica a Moderada.

"Cuando presenté por primera vez la diferencia entre riesgo inherente y residual al Comité de Auditoría, hubo un silencio de 15 segundos. Luego el Presidente preguntó: ¿por qué nadie nos había mostrado esto antes? Ese día entendí el poder de medir con precisión."

— Gerente de Riesgos Corporativos · Sector financiero, 18 años de experiencia

Estructura · RISK Framework / ISO 31000

Arquitectura de la Gestión del Riesgo: 5 Capas

El marco RISK define cinco capas interdependientes. Haz clic en cada capa para desplegar su función. La Capa 3 (dorado) es donde te encuentras ahora.

🌐
Capa 1 · Estratégica
Contexto y Apetito de Riesgo
✓ Base

Define los objetivos, el apetito, las tolerancias y los criterios de evaluación. Sin esta capa no existe brújula: no hay forma de saber si un riesgo es aceptable porque no existe umbral de referencia.

Output: Marco de Referencia formal con apetito declarado, tolerancias cuantificadas y criterios de escalamiento.

Apetito de Riesgo Tolerancias Marco de Referencia Junta Directiva
⇅ flujo de información
🔍
Capa 2 · Identificación
Inventario · Taxonomía · Risk Register
✓ Página 1

Construye el catálogo completo de riesgos usando las 7 categorías RISK. Un riesgo no identificado no puede ser gestionado.

Output: Risk Register con 80–150 riesgos activos en organización madura.

PESTEL Risk Register Workshops 7 Categorías
⇅ flujo de información
🧮
Capa 3 · Medición ← ESTÁS AQUÍ
Cuantificación R = P × I × V
📍 Ahora

Aplica la fórmula a cada riesgo del registro. Produce el Riesgo Inherente (V=1.0) y el Riesgo Residual (V con controles). Posiciona cada riesgo en la Matriz de Calor 5×5.

El puente entre identificación y tratamiento. Sin medición, los tratamientos se diseñan por intuición. Con medición, cada peso invertido en controles se justifica con un número.

R = P × I × V Matriz 5×5 Inherente vs Residual Mapa de Calor
⇅ flujo de información
⚙️
Capa 4 · Tratamiento · Página 3
Evitar · Mitigar · Transferir · Aceptar
→ Siguiente

Diseña e implementa respuestas para reducir el riesgo residual al nivel del apetito. Cada estrategia se selecciona y justifica con los datos de la Capa 3.

Evitar Mitigar Transferir Aceptar Plan de Acción
⇅ flujo de información
📡
Capa 5 · Monitoreo · Página 4
KRIs · Dashboard · Gobierno · Reporting
→ Página 4

Monitorea KRIs, actualiza el Risk Register y reporta a la Alta Dirección. Cierra el ciclo: el monitoreo alimenta de nuevo la Capa 1.

Frecuencia: KRIs → mensual · Risk Register → trimestral · Junta → semestral.

KRIs Dashboard Early Warning Reporting Ejecutivo
Taxonomía RISK · 7 Categorías

Las 7 categorías de riesgo que el Risk Register debe cubrir

Cada una se mide con R=P×I×V — la taxonomía determina cómo interpretar cada variable en su contexto específico.

⚙️

1. Riesgo Operacional

Pérdidas por procesos inadecuados, fallas humanas, sistemas o eventos externos. Alta P con procesos manuales. V alta sin automatización ni planes de continuidad.

Operacional
🏦

2. Riesgo Financiero

Exposición a tasa de interés, tipo de cambio, liquidez o crédito. V alta sin coberturas (hedging). I máximo cuando afecta la continuidad operativa.

Financiero
🧭

3. Riesgo Estratégico

Amenazas a objetivos de largo plazo: disrupciones del mercado o fallas en ejecución. I máximo cuando compromete el modelo de negocio. V alta sin inteligencia competitiva.

Estratégico
📰

4. Riesgo Reputacional

Daño a imagen y credibilidad. En era digital la velocidad es altísima — un tweet puede disparar P en minutos. V alta sin protocolo de crisis activo.

Reputacional
⚖️

5. Riesgo de Cumplimiento

Sanciones por incumplimiento legal o regulatorio. V baja con compliance robusto. P alta en sectores regulados o en expansión geográfica.

Compliance
🔒

6. Riesgo Cibernético

Amenazas a activos digitales: ransomware, brechas, ataques DDoS. P creciente globalmente. Un SOC 24/7 con MFA puede reducir V de 1.0 a 0.2.

Cyber
🌿

7. Riesgo ESG / Ambiental

Impactos ambientales, sociales y de gobernanza. Con CSRD e ISSB en auge, la V de empresas sin estrategia ESG escala rápidamente. El I incluye pérdida de acceso a capital sostenible.

ESG

← Desliza horizontalmente o usa las flechas →

Contexto Visual

El riesgo tiene muchos rostros

Financiero
📈 Riesgo Financiero
Cibernético
🔐 Riesgo Cibernético
Operacional
🚢 Riesgo Operacional
Legal
⚖️ Riesgo Cumplimiento
ESG
🌿 Riesgo ESG
Reputacional
⭐ Riesgo Reputacional

← Desliza horizontalmente →

"Muchos gerentes ven el mapa de calor como un trámite regulatorio. Los que lo usan como herramienta de decisión son los que logran que la Alta Dirección apruebe los presupuestos de control sin cuestionarlos. El número convence donde las palabras no llegan."

— Director de Riesgos · Empresa del sector energético, COSO ERM implementado

Simulador Interactivo · R = P × I × V

Calcula el riesgo en tiempo real

Ajusta los cuatro parámetros. El mapa de calor se actualiza al instante: el ● blanco = Riesgo Inherente y el ◈ dorado = Riesgo Residual.

R_inherente = P × I × 1.0  ·  R_residual = P × I × V  ·  V = V_base × (1 − Efect./100)
Zonas: 🟢 Bajo ≤5  ·  🟡 Moderado 6–9  ·  🟠 Alto 10–14  ·  🔴 Crítico ≥15
P · Probabilidad 3
Posible (nivel 3 de 5)
I · Impacto 3
Moderado (nivel 3 de 5)
V · Vulnerabilidad base 1.0
1.0 = Sin controles  ·  0.1 = Muy robustos
Efectividad Control % 0%
0% = Sin reducción  ·  100% = Control total
Resultados · R = P × I × V
● Riesgo Inherente
9/ 25
◈ Riesgo Residual
9/ 25
Ajusta los parámetros para calcular y ver las recomendaciones de tratamiento.
🗺️ Mapa de Calor — Matriz P × I (5×5)
● Círculo blanco = Riesgo Inherente  ·  ◈ Círculo dorado = Riesgo Residual  ·  Pasa el cursor sobre las celdas para ver detalles.
Bajo (1–5)
Moderado (6–9)
Alto (10–14)
Crítico (15–25)
Inherente
Residual
Profundización · Metodología

Criterios avanzados de evaluación del riesgo

Cinco secciones que cubren los conceptos que diferencian al gestor de riesgos profesional.

2.1 Criterios de evaluación: Apetito, Tolerancia y Capacidad
+

Los criterios de evaluación son los parámetros que la organización establece para decidir si el riesgo residual es aceptable o requiere tratamiento adicional. Deben definirse antes de iniciar el proceso.

  • Apetito de Riesgo: Nivel y tipo de riesgo que la organización acepta conscientemente para lograr objetivos. Declaración estratégica de la Alta Dirección. Ejemplo: "Aceptamos riesgos con R_res ≤6".
  • Tolerancia al Riesgo: Variación aceptable respecto al apetito. Si el apetito es R≤6, la tolerancia podría ser R≤8 bajo condiciones específicas y temporales.
  • Capacidad de Riesgo: Nivel máximo absoluto que la organización puede absorber sin comprometer su viabilidad.
  • Umbral de Escalamiento: Punto en que el riesgo activa protocolos automáticos de escalamiento obligatorio a la Alta Dirección.
⚖ Jerarquía obligatoria: Apetito ≤ Tolerancia ≤ Capacidad. Definir un apetito mayor que la capacidad es el error más grave en diseño de marcos de riesgo.
🔍
2.2 Técnicas de identificación exhaustiva del riesgo
+

La identificación es el paso más crítico: un riesgo no identificado no puede ser gestionado. El objetivo es construir el Risk Register más completo posible.

  • Talleres de riesgo: Producen entre el 60–80% de los riesgos del registro. Requieren facilitador neutral.
  • Análisis de escenarios: Identifica riesgos emergentes y de cola (tail risks) que los talleres no capturan.
  • PESTEL + DAFO combinado: PESTEL revela fuentes externas; DAFO conecta con capacidades internas.
  • Revisión de pérdidas históricas: Bases de datos del sector (ORX, ORIC). La historia es el mejor predictor de patrones de riesgo.
  • Entrevistas a partes interesadas: Perspectivas de primera línea. Indispensable para riesgos culturales y humanos.
📌 Benchmark: una organización madura mantiene 80–150 riesgos activos. Menos de 30 indica identificación incompleta.
🧮
2.3 Análisis cualitativo vs. cuantitativo vs. semicuantitativo
+
📋 Cualitativo
Escalas descriptivas (Bajo/Medio/Alto). Rápido cuando datos son escasos. Muy subjetivo — dos evaluadores pueden diferir ampliamente.
📈 Cuantitativo
Monte Carlo, VaR, Expected Loss. Máxima precisión. Requiere datos históricos robustos. Costoso; reservar para riesgos críticos.

Semicuantitativo (R=P×I×V): El estándar más extendido. Combina practicidad con objetividad suficiente para priorizar tratamientos.

💡 Regla práctica: cualitativo para primer screening, semicuantitativo para priorización operativa, cuantitativo solo para los 10–15 riesgos más críticos.
⏱️
2.4 Velocidad, frecuencia y persistencia del riesgo
+

La fórmula R=P×I×V captura magnitud, pero el perfil temporal es igualmente crítico para diseñar la respuesta:

  • Velocidad de materialización: ¿Horas o años? Un ciberataque impacta en horas; un riesgo climático en décadas. Determina si el control debe ser preventivo o de respuesta.
  • Frecuencia esperada: P=2 que ocurre 3 veces al año es más oneroso que P=4 que ocurre una vez en 10 años.
  • Persistencia del impacto: El riesgo reputacional puede persistir 5 años; un fallo técnico, 48 horas. Determina el costo total del riesgo materializado.
⏱️ Para riesgos de alta velocidad (<48h): diseña controles principalmente preventivos. Para baja velocidad: prioriza monitoreo de KRIs adelantados.
🌡️
2.5 Cómo leer e interpretar el mapa de calor profesionalmente
+

El mapa de calor 5×5 es la herramienta de comunicación ejecutiva más poderosa — y la más malinterpretada:

  • Zona verde (R 1–5): Tolerables dentro del apetito. Aceptación formal con revisión semestral y KRIs de alerta temprana.
  • Zona amarilla (R 6–9): Monitoreo activo. Plan de mejora en el ciclo presupuestal. Revisión trimestral.
  • Zona naranja (R 10–14): Tratamiento prioritario. Plan de acción con responsable, plazos y recursos. Reporte mensual.
  • Zona roja (R 15–25): Acción inmediata. Escalamiento obligatorio a Alta Dirección. Seguimiento semanal hasta reducir al nivel de tolerancia.
⚠️ Error frecuente: tratar el mapa como documento estático. Debe actualizarse trimestralmente. Un riesgo sin movimiento en 18 meses probablemente no está siendo gestionado activamente.
Recurso de profundización · Capítulo 2

Medir el riesgo: de la teoría a la práctica

Sesión grabada con expertos aplicando R=P×I×V en escenarios reales de organizaciones latinoamericanas.

Clase Magistral: R = P × I × V en la Práctica
Haz clic para reproducir · Duración aprox. 45 min
🎓 Nivel: Intermedio – Avanzado
⏱️ Duración: ~45 minutos
📋 Incluye: Casos prácticos + Q&A
🌐 Marco: ISO 31000 · COSO ERM
Verifica tu comprensión · Capítulo 2

Quiz de Conceptualización del Riesgo

4 preguntas que cubren fórmula, arquitectura, tipos de riesgo y mapa de calor.

◈ Próxima entrega · Módulo 1 · ISO 31000

Capítulo 3:
Tratamiento del Riesgo

Ya sabes medir. Ahora aprende a actuar. Las cuatro estrategias de tratamiento — Evitar, Mitigar, Transferir, Aceptar — y cómo elegir la correcta para cada punto del mapa de calor.

🚫 Evitar: cuándo retirarse 🛠️ Mitigar: reducir P e I 📋 Transferir: seguros y contratos ✅ Aceptar: con criterio, no por omisión 💰 ROI del control
Ir al Capítulo 3 → Tratamiento del Riesgo

💬 ¿Qué te llevaste de este capítulo?

Tu experiencia enriquece la comunidad. Comparte un caso, una duda o un aprendizaje. Todos los comentarios son revisados y respondidos por el equipo editorial.

← Página 1 · Introducción ISO 31000
Siguiente: Tratamiento del Riesgo Página 3 de 4 · Módulo 1 · ISO 31000 / RISK Framework
Ir a Página 3