Porque la mayoría de los registros de riesgos no son más que hojas de cálculo costosas llenas de buenas intenciones.
Seamos honestos: el 80 % de los registros de riesgos que reviso parecen «correctos», hasta que realmente intentas usarlos.Marcan todas las casillas: probabilidad, impacto, responsable, tratamiento.Pero cuando ocurre un incidente real, nadie los abre, nadie confía en ellos y la mitad de los datos ya están desactualizados.
Eso no es un «problema de gobernanza». Es un fallo de diseño.
Aquí tienes cinco errores reales, detectados sobre el terreno, que inutilizan los registros de riesgos, y cómo corregirlos.
1. Error n.º 1: riesgos que describen controles, no exposiciones
Te sorprendería ver cuántos registros comienzan así:
«Ausencia de autenticación multifactor.»«Sin política de copias de seguridad.»«Falta de plan de respuesta a incidentes.»
Eso no es un riesgo. Es un control ausente.
Un riesgo describe lo que podría ocurrirle a la organización, no el control que olvidaste implementar.
La prueba es sencilla:Si puedes anteponerle «El riesgo de que…» y sigue teniendo sentido, vas por buen camino.
✅ «El riesgo de que un acceso no autorizado comprometa datos confidenciales debido a una autenticación débil.»
Corrección: Reformula cada riesgo como un escenario con causa, evento y consecuencia.De inmediato separarás los síntomas técnicos de las exposiciones reales.
2. Error n.º 2: registros que envejecen como la leche
Tu registro se actualizó por última vez en marzo.Luego la organización migró a la nube en abril.Se fusionó con otra entidad en mayo.Y adoptó herramientas de IA en junio.
¿Adivinas qué pasó? El contexto de riesgo cambió; el registro, no.
No es negligencia; es inercia de proceso.La mayoría de las empresas siguen tratando los registros de riesgos como rituales anuales, no como sistemas vivos.
Corrección:
- Implementa un enfoque ligero de «revisión continua».
- Los responsables validan el estado de los riesgos trimestralmente (literalmente cinco minutos).
- Automatiza los disparadores de cambio (por ejemplo, nuevo proyecto, nuevo proveedor, nueva regulación).
Un buen registro de riesgos respira. Uno malo se fosiliza.
3. Error n.º 3: valoraciones sin una moneda común
Escena clásica:
- Riesgo A: «Probabilidad alta, impacto medio.»
- Riesgo B: «Probabilidad baja, impacto alto.»
- Riesgo C: «Medio-medio.»…y nadie se pone de acuerdo en lo que significa nada de esto.
¿Por qué? Porque las escalas no están ancladas en la realidad del negocio.
La mayoría de los registros siguen usando escalas subjetivas del 1 al 5, rellenadas por personas que interpretan «medio» de forma diferente.Es pseudocuantificación.
Corrección: Traduce tus escalas a términos de negocio concretos.
- Probabilidad = frecuencia u horizonte temporal («una vez al año», «una vez por década»).
- Impacto = estimaciones de pérdida financiera, reputacional u operativa («<100 000 €», «tiempo de inactividad del servicio <4 h»).Luego calibra la escala por dominio (cyber ≠ legal ≠ financiero).
Si cualquier persona en la sala no puede explicar la diferencia entre «3» y «4», tu registro es un juego de adivinanzas, no una herramienta.
4. Error n.º 4: tratamientos de riesgo que nunca terminan
Uno de mis favoritos:
«Mitigación: implementar programa de concienciación en seguridad.»«Estado: en curso.»«Fecha límite: N/A.»
Traducción: Lo haremos para siempre y lo llamaremos progreso.
Los tratamientos perpetuos destruyen la credibilidad.Cuando cada riesgo tiene una mitigación «en curso», el registro se convierte en un cementerio de proyectos eternos.
Corrección:
- Cada tratamiento debe tener una condición de cierre: ¿cómo sabemos que está «hecho»?
- Asigna un responsable con rendición de cuentas y una fecha límite.
- Si se trata de un control recurrente (como la concienciación), trasládalo al inventario de controles, no al registro de riesgos.
Tu registro de riesgos debe seguir decisiones, no tareas de mantenimiento.
5. Error n.º 5: sin trazabilidad entre riesgos, controles e incidentes
Este es el que separa a los aficionados de los profesionales.
La mayoría de los registros viven en aislamiento: listan riesgos, pero no están conectados a controles ni a incidentes.Así, cuando algo falla, no puedes rastrear qué control falló ni qué riesgo se materializó.
Corrección:Vincula tu registro de riesgos con:
- Bibliotecas de controles (ISO 27001 Annex A, NIST, DORA).
- Registros de incidentes (para validar la probabilidad y la eficacia de los controles).
- Hallazgos de auditoría (para hacer seguimiento de la mejora).
En otras palabras: construye trazabilidad, el santo grial del GRC maduro.Es lo que convierte una hoja de cálculo en un motor de decisión.
Extra: la «prueba del olfato»
Si quieres saber si tu registro de riesgos funciona, pregúntate:
«¿Cuándo fue la última vez que alguien ajeno al equipo de riesgos lo abrió voluntariamente?»
Si la respuesta es «nunca», no tienes un registro; tienes un artefacto de cumplimiento.
La conclusión
Los registros de riesgos fallan porque se redactan para auditores, no para tomadores de decisiones.La solución no es otra plantilla; es cambiar la forma de pensar sobre el riesgo: como una narrativa viva de cómo tu organización protege su valor.
Para 2026, las mejores empresas no solo tendrán registros impecables; tendrán ecosistemas de riesgo conectados, contextualizados y actualizados de forma continua.
Hasta entonces:Redacta los riesgos como historias.Valóralos como casos de negocio.Revísalos como si realmente importara.
¿Quieres profundizar?
Eso es exactamente lo que enseñamos en los programas Risk Manager de Cyber Academy.Vamos más allá de los mapas de calor, hacia marcos de decisión de riesgo aplicados al mundo real que hacen que tu consejo directivo escuche.
Porque el riesgo no es una hoja de cálculo.Es la historia de la supervivencia de tu organización, contada en datos.
