Cómo se valora tu matriz

La metodología detrás de los números que ves · misma escala en todo el portal

Valoración de riesgos

Cada riesgo se mide por dos dimensiones —Probabilidad (P) e Impacto (I)—, cada una en una escala de 1 a 5. La severidad es el producto P × I (de 1 a 25), y esa severidad se traduce a una banda de color.

Inherente vs. residual

El riesgo inherente es el riesgo en bruto: cuánto pesaría sin considerar los controles. El riesgo residual es el que queda una vez que los controles vigentes hacen su parte — es el número que gobierna la gestión del día a día. El portal muestra ambos, para que se lea la historia inherente → residual.

Las bandas de severidad

Cómo baja el residual

El residual parte del inherente y se reduce según la mitigación que aporta el conjunto de controles vinculados (cuánto bajan la probabilidad y/o el impacto):

Residual = Inherente × (1 − mitigación)

La Mitigación P% y la Mitigación I% que ves en la matriz (con el detalle activado) son ese porcentaje del conjunto: cada control aporta su parte y juntos determinan cuánto baja. Un riesgo sin controles efectivos conserva un residual cercano a su inherente. Además, el nivel se ajusta por eventos: hechos reales —una fiscalización, un incidente, una prueba de control— pueden moverlo. Cada movimiento queda registrado en la ficha del riesgo, en “Cómo se movió”.

Frecuencia e Incentivos

Son dos variables que explican la probabilidad (no son resultados de una evaluación):

  • Frecuencia — con qué recurrencia ocurre la actividad que expone al riesgo. A mayor frecuencia, mayor probabilidad.
  • Incentivos — qué tan atractivo resulta materializar el riesgo para quien pudiera hacerlo. A mayores incentivos, mayor probabilidad.

Puedes ver estas variables por riesgo activando “Detalle de valoración” en la matriz, o en la ficha de cada riesgo.

Valoración de controles

Los controles son lo que reduce tus riesgos. Cada control tiene un porcentaje de mitigación propio —lo más importante de la vista de Controles— que sale de una cadena de atributos de diseño:

  • Tipo — la naturaleza del control (por ejemplo preventivo, detectivo o correctivo).
  • Periodicidad — cada cuánto opera o se ejecuta (mensual, anual, permanente).
  • Oportunidad — si actúa antes, durante o después del evento de riesgo.
  • Documentación — si el control está formalizado y respaldado.
  • Evidencia de aplicación — si hay constancia de que se ejecuta de verdad.
  • Segregación de funciones — si separa quién ejecuta de quién controla.

La cadena de mitigación

Esos atributos determinan el Nivel de diseño del control (Óptimo, Excelente, Bueno, Regular o Bajo), y de ese nivel sale su % de mitigación —cuánto reduce el riesgo, sobre la probabilidad o el impacto (¿Qué disminuye?)—:

atributos de diseño → nivel de diseño → % de mitigación

El conjunto de controles de un riesgo agrega su mitigación en la Mitigación P% e I% del riesgo, y eso es lo que baja el residual. Puedes ver toda la cadena por control activando “Detalle de valoración” en la vista de Controles, o en el panel de cada control.

Estados de evaluación

Un plan de prueba verifica que el control funciona de verdad. El resultado de esa prueba deja al control en uno de estos estados:

Lo que se evalúa son los controles, no el riesgo

Un riesgo no se “aprueba” ni se “reprueba”. Su nivel se actualiza a medida que (a) ocurren eventos y (b) se evalúan sus controles. La evaluación es siempre del control.

Por eso, cuando un control aparece como “Sin evaluar”, el residual de los riesgos que ese control cubre es provisional: todavía no refleja la eficacia real del control. Al probarlo, si resulta Efectivo el residual puede bajar; si queda Con observaciones, puede que no baje tanto.