Cómo crear una matriz de riesgos efectiva
La matriz de riesgos es la herramienta más utilizada para evaluar y priorizar riesgos en cualquier sistema de gestión. Ya sea para ISO 9001, ISO 27001, ISO 45001 o gestión de riesgos general, una matriz bien construida permite tomar decisiones informadas sobre dónde concentrar los esfuerzos de mitigación.
¿Qué es una matriz de riesgos?
Es una herramienta visual que cruza la probabilidad de que un riesgo se materialice con el impacto que tendría si ocurre. El resultado es una clasificación del nivel de riesgo que orienta las decisiones de tratamiento.
Paso 1: Definir las escalas
Escala de probabilidad
| Nivel | Descripción | Criterio orientativo |
|---|---|---|
| 1 - Muy baja | Raro, excepcional | Menos de 1 vez en 5 años |
| 2 - Baja | Improbable pero posible | 1 vez cada 2-5 años |
| 3 - Media | Posible, ha ocurrido | 1 vez al año |
| 4 - Alta | Probable, ocurre periódicamente | Varias veces al año |
| 5 - Muy alta | Casi seguro que ocurrirá | Mensual o más frecuente |
Escala de impacto
| Nivel | Descripción | Criterios (adaptables) |
|---|---|---|
| 1 - Insignificante | Sin efecto relevante | Interrupción < 1 hora, sin afectación a clientes |
| 2 - Menor | Efecto limitado, manejable | Interrupción < 1 día, queja aislada |
| 3 - Moderado | Efecto significativo | Interrupción de 1-3 días, varios clientes afectados |
| 4 - Mayor | Efecto grave | Interrupción > 1 semana, pérdida de clientes importantes |
| 5 - Catastrófico | Amenaza la continuidad | Interrupción prolongada, daño reputacional severo, sanción legal |
Paso 2: Construir la matriz
| Probabilidad / Impacto | 1 | 2 | 3 | 4 | 5 |
|---|---|---|---|---|---|
| 5 - Muy alta | Medio | Alto | Alto | Extremo | Extremo |
| 4 - Alta | Medio | Medio | Alto | Extremo | Extremo |
| 3 - Media | Bajo | Medio | Alto | Alto | Extremo |
| 2 - Baja | Bajo | Bajo | Medio | Alto | Alto |
| 1 - Muy baja | Bajo | Bajo | Medio | Medio | Alto |
Paso 3: Evaluar los riesgos
Para cada riesgo identificado, asignar un nivel de probabilidad y un nivel de impacto. Registrar la justificación para cada evaluación. La ubicación en la matriz determina el nivel de riesgo y la prioridad de tratamiento.
Paso 4: Definir criterios de aceptación
| Nivel | Acción requerida |
|---|---|
| Extremo | Acción inmediata. No iniciar o continuar la actividad hasta implementar controles. |
| Alto | Acción prioritaria. Implementar controles en el corto plazo. |
| Medio | Gestionar. Implementar controles según disponibilidad de recursos. |
| Bajo | Aceptable. Monitorear periódicamente. No requiere acción inmediata. |
Paso 5: Plan de tratamiento
Para cada riesgo que supere el nivel de aceptación, definir un plan con: control a implementar, responsable, plazo, recursos necesarios e indicador de eficacia.
Errores comunes
- Escalas ambiguas: Si los niveles no están claramente definidos, cada evaluador interpreta diferente.
- No actualizar: Una matriz que se hace una vez y se archiva no sirve. Debe revisarse periódicamente.
- Evaluar sin datos: Las evaluaciones deben basarse en información real (incidentes, estadísticas), no solo en intuición.
- Ignorar riesgos de baja probabilidad y alto impacto: Un terremoto es de baja probabilidad pero de impacto catastrófico. No descartarlo por ser "improbable".
- No vincular con acciones: La matriz sin plan de tratamiento es un ejercicio académico.
Crea tu matriz de riesgos en GRC360
GRC360 incluye matrices de riesgo configurables con escalas personalizables, planes de tratamiento integrados y dashboards de seguimiento automático.
Crear Cuenta GratisComplementa con gestión de riesgos operacionales, evaluación de riesgos laborales y el tutorial cómo crear tu matriz de riesgos en GRC360.
¿Necesitas gestionar tu compliance?
GRC360 te ayuda a implementar estándares ISO, gestionar riesgos y cumplir con la normativa.
Crear Cuenta Gratis