La perspectiva de Cyber Academy
El riesgo inherente es la exposición antes de los controles. El riesgo residual es lo que queda tras la operación de dichos controles. Los auditores analizan la brecha: debe estar justificada, aceptada (o tratada de forma adicional) por un responsable nombrado, y coherente con el apetito de riesgo. Que aparezca «residual = cero» en cualquier punto del registro es una señal de alerta, no un logro.
El mismo riesgo visto en dos momentos
El riesgo inherente y el riesgo residual no son dos riesgos diferentes. Son el mismo escenario medido en dos puntos: antes de que tus controles realicen su trabajo y después de que lo hayan hecho. El riesgo inherente es la exposición en bruto, el nivel de probabilidad e impacto al que te enfrentarías si los controles pertinentes estuvieran ausentes o fallaran por completo. El riesgo residual es lo que queda una vez que los controles están implantados y operan según lo previsto. Leerlos uno junto al otro es todo el sentido del ejercicio, porque la brecha entre ambos es el valor visible de tu entorno de control. Una brecha amplia indica que los controles cumplen su función; una brecha estrecha indica que estás invirtiendo esfuerzo para una reducción escasa y deberías preguntarte por qué.
Tratar estos niveles como un par cambia tu forma de gastar. Si dos escenarios comparten un nivel residual similar pero uno partía de un nivel inherente mucho más alto, el conjunto de controles que lo mantiene bajo realiza un trabajo considerable y merece protección en el presupuesto. El escenario que apenas se movió de lo inherente a lo residual es el que hay que revisar: o el control es débil, o es el control equivocado, o el riesgo nunca estuvo tan expuesto como afirmaba la valoración.
| Dimensión | Riesgo inherente | Riesgo residual |
|---|---|---|
| Cuándo se mide | Antes de los controles | Después de que operan los controles |
| Qué muestra | Exposición en bruto del escenario | Exposición que realmente permanece |
| Uso principal | Priorizar dónde se necesitan controles | Decidir aceptar, tratar más o transferir |
| Comparado con | Otros escenarios sin tratar | El apetito y la tolerancia al riesgo |
| Acción del propietario | Diseñar el tratamiento | Aceptar y firmar, o escalar la brecha |
Qué esperan los auditores y las normas
La brecha entre lo inherente y lo residual es donde reside el aseguramiento, así que debe justificarse en lugar de afirmarse. Un auditor lee el registro y exige tres cosas a cada cifra residual: qué controles la redujeron, si esos controles operan genuinamente en lugar de solo estar documentados, y quién aceptó lo que queda. Ese último punto importa. El riesgo residual lo acepta un propietario nombrado con la autoridad para asumirlo, y esa aceptación debe situarse dentro del apetito de riesgo de la organización. Un nivel residual que supera el apetito no es una entrada terminada; es un punto abierto que exige tratamiento adicional, transferencia, o una excepción deliberada y documentada.
Esta lógica está incorporada en los principales marcos. ISO 31000 plantea la gestión del riesgo como un bucle iterativo en el que el tratamiento modifica el riesgo y el riesgo modificado se vuelve a evaluar, que es exactamente el paso de lo inherente a lo residual. ISO/IEC 27005 aplica el mismo razonamiento al riesgo de seguridad de la información y es explícita en que el riesgo residual debe evaluarse y ser aceptado formalmente por la dirección antes de que un sistema entre en funcionamiento o permanezca en producción.
Las directrices del NIST sobre la evaluación de riesgos mantienen la distinción idéntica entre el riesgo al que se enfrenta una organización y la porción que permanece tras aplicar las respuestas. Ninguna de estas normas trata lo residual como un número que se calcula una vez y se archiva.
Hacerlo bien en la práctica
En un registro operativo, cada línea debería permitir a un lector rastrear la valoración inherente, los controles aplicados, la valoración residual, y el propietario nombrado que la aceptó. Mantén el método de valoración coherente entre lo inherente y lo residual para que ambos sean genuinamente comparables; si puntúas el impacto y la probabilidad de forma distinta en cada etapa, la brecha no significa nada. Vuelve a valorar lo residual siempre que un control cambie, se degrade, o se revele ineficaz durante las pruebas, porque el riesgo residual solo está tan actualizado como los controles que lo sustentan. Una cifra residual fijada hace dos auditorías y nunca revisada es decoración, no aseguramiento.
El juicio que aporta valor consiste en vincular el riesgo residual con el apetito y el tratamiento. Una vez que lo residual se sitúa en el apetito o por debajo, la aceptación es razonable y el propietario firma. Cuando se sitúa por encima, la entrada honesta registra la brecha y el plan para cerrarla, en lugar de redondear el número hacia abajo para que la página parezca ordenada. Esa disciplina es lo que convierte un registro, de artefacto de cumplimiento, en una herramienta que el consejo puede utilizar realmente para asignar atención.
Frequently asked questions
01¿Cuál es la diferencia entre riesgo inherente y riesgo residual?
El riesgo inherente es la exposición antes de considerar cualquier control, el nivel en bruto de probabilidad e impacto. El riesgo residual es lo que queda una vez que los controles están implantados y operando. Describen el mismo escenario medido en dos puntos, y la brecha entre ellos muestra el valor de los controles.
02¿Debería el riesgo residual ser alguna vez cero?
No. Ningún conjunto de controles es perfecto y los controles pueden fallar, de modo que casi siempre permanece algún riesgo residual. Una valoración residual de cero en un registro es tratada por los auditores como una señal de alarma, que suele significar que se confundió el objetivo con la realidad o que se ignoró el fallo de los controles.
03¿Quién es responsable de aceptar el riesgo residual?
Un propietario del riesgo nombrado con la autoridad para asumir la exposición. Su aceptación debe estar documentada y debe situarse dentro del apetito de riesgo de la organización. Si el nivel residual supera el apetito, no puede aceptarse sin más y debe tratarse adicionalmente o escalarse.
04¿Cómo se relaciona el riesgo residual con el apetito de riesgo?
El riesgo residual se compara directamente con el apetito de riesgo. Cuando se sitúa en el apetito o por debajo, la aceptación es razonable y el propietario da su visto bueno. Cuando se sitúa por encima, la entrada permanece abierta con un plan de tratamiento para cerrar la brecha, en lugar de registrarse como aceptada.
05¿Cuándo debe reevaluarse el riesgo residual?
Siempre que un control cambie, se degrade, o se revele ineficaz durante las pruebas, y en el ciclo de revisión normal. El riesgo residual solo es tan exacto como los controles que lo sustentan, así que una cifra fijada en una auditoría pasada y nunca revisada da un aseguramiento falso.