Mapa de riesgos (en claro)
Un mapa de riesgos ordena y prioriza los riesgos de una organización en una matriz de
probabilidad e impacto. El objetivo no es “tener un documento”, sino
tomar decisiones: qué mitigar primero, qué controlar y qué evidencias guardar.
- Visión rápida para dirección y comité.
- Base para controles, políticas y formación.
- Soporte defendible ante auditorías y terceros.
Inherente vs residual
Diferenciar el riesgo inherente (antes de controles) y el residual (después)
permite explicar mejoras y justificar prioridades. Aquí puedes alternar vista y ajustar controles para ver
cómo baja el nivel.
- Inherente: P/I inicial por proceso.
- Residual: P/I tras controles y mitigación.
- Evidencias: registros, revisiones y trazabilidad.
FAQ sobre mapa de riesgos
¿Qué debe incluir un mapa de riesgos bien hecho?
Registro de riesgos, criterios de valoración (P/I), responsables, controles, evidencias y un plan de acción con fechas y seguimiento.
¿Cada cuánto se actualiza el mapa de riesgos?
Como mínimo anual, y siempre que cambie el negocio (nuevos productos, países, proveedores, incidentes o cambios normativos).
¿Sirve para compliance, PBC, datos y riesgos operativos?
Sí: el enfoque es transversal. Cambian categorías y controles, pero la metodología (identificar, valorar, mitigar y evidenciar) es la misma.