Saltar al contenido

Matriz de riesgos para pymes: prioriza y actúa (sin humo, con controles reales)

Si alguna vez hiciste una “matriz de riesgos” y quedó guardada en un Drive para siempre, no estás solo.

En muchas empresas la matriz falla por dos razones:

  1. los riesgos están mal escritos (parecen problemas, no riesgos)
  2. las acciones son genéricas (“capacitar”, “mejorar”, “controlar”) y no reducen nada

El resultado: cuando pasa un incidente (caída de sistema, proveedor falla, ausentismo, corte de luz), se improvisa igual.

La buena noticia: una matriz de riesgos bien hecha puede ser simple y muy poderosa, especialmente en pymes.

Aquí te dejo un método paso a paso, ejemplos reales, checklist y cómo armar un plan de tratamiento que sí cambie el resultado.

Por qué las matrices de riesgos no sirven (y cómo arreglarlo)

Problema 1: riesgos mal escritos

Ejemplos típicos (mal):

  • “Falta de comunicación”
  • “Desorden en bodega”
  • “Sistema malo”

Eso no es un riesgo. Eso es un diagnóstico vago.

Problema 2: sin dueño y sin fecha

Si un riesgo no tiene responsable:

  • nadie lo gestiona
  • nadie lo monitorea
  • y vuelve a ocurrir

Problema 3: acciones que no reducen riesgo

“Capacitar” puede ayudar, pero si no está ligado a una causa y no tiene evidencia, es humo.

Arreglo: escribe riesgos como evento + causa + impacto, prioriza por probabilidad x impacto y define controles con dueño, fecha y evidencia.

Cómo escribir un riesgo correctamente (evento + causa + impacto)

Esta estructura cambia todo:

Evento: lo que puede ocurrir

Causa: por qué podría ocurrir

Impacto: qué daño genera (ventas, clientes, cumplimiento, seguridad, operación)

Ejemplos reales (bien escritos)

TI

  • Evento: caída del sistema de ventas
  • Causa: dependencia de un solo proveedor + sin plan B
  • Impacto: no se puede vender/facturar, pérdida de caja

Personas

  • Evento: ausentismo masivo en turno crítico
  • Causa: falta de plan de reemplazo + roles no cruzados
  • Impacto: atrasos, incumplimiento de entregas

Proveedores

  • Evento: proveedor crítico no entrega insumo
  • Causa: no hay segundo proveedor homologado
  • Impacto: detención de producción/servicio, multas, pérdida de clientes

Infraestructura

  • Evento: corte de luz prolongado
  • Causa: sin UPS/backup ni procedimiento
  • Impacto: operación detenida, pérdida de datos, atrasos

Diferencia clave: problema vs riesgo

  • Problema: “El sistema se cae” (ya pasó)
  • Riesgo: “Puede caer el sistema por X y afectar Y” (anticipación)

La matriz sirve para anticipar, no para describir molestias.

Probabilidad x impacto (escala simple para pymes)

No necesitas estadística avanzada. Necesitas una escala consistente.

Escala 1–5 (probabilidad)

1 = raro (1 vez al año o menos)

2 = poco probable

3 = posible (cada 3–6 meses)

4 = probable (mensual)

5 = muy probable (semanal)

Escala 1–5 (impacto)

1 = bajo (molesta, pero no afecta cliente/caja)

2 = medio

3 = alto (afecta operación y genera retrabajo)

4 = muy alto (afecta ventas/clientes o cumplimiento)

5 = crítico (paraliza negocio o genera daño severo)

Puntaje de riesgo

Riesgo = Probabilidad x Impacto

  • 1–5: bajo
  • 6–12: medio
  • 13–25: alto/crítico

Con eso puedes priorizar sin pelear.

Mapa de calor y priorización (lo que haces primero)

Regla práctica:

  • Primero atacas riesgos con impacto 4–5, aunque probabilidad sea media
  • Segundo, riesgos con probabilidad 4–5, aunque impacto sea 3

Porque:

  • los de impacto alto te pueden matar
  • los de probabilidad alta te drenan día a día

Plan de tratamiento: controles que sí reducen riesgo

Aquí está la diferencia entre “documento” y “gestión real”.

Un control debe:

  • reducir probabilidad o impacto
  • ser ejecutable
  • tener dueño, fecha y evidencia

Tipos de controles (en simple)

Preventivo: evita que ocurra

  • doble proveedor
  • capacitación + checklist
  • redundancia de roles
  • mantenimiento preventivo

Detectivo: detecta antes de que duela

  • monitoreo
  • alarmas
  • revisión diaria/semanal
  • control de calidad

Correctivo: reduce daño y recupera

  • plan de contingencia
  • procedimientos de recuperación
  • backups
  • roles de crisis

Ejemplo de plan de tratamiento (bien aterrizado)

Riesgo: caída de sistema de ventas

  • Preventivo: contrato de soporte + mantenimiento mensual (dueño TI, fecha)
  • Detectivo: monitoreo + alerta caída (dueño TI)
  • Correctivo: plan B ventas manual 8h + plantilla (dueño ventas)
  • Evidencia: registro de pruebas trimestrales (bitácora)

Eso sí reduce riesgo.

Si quieres plantillas listas para matriz de riesgos + tratamiento + continuidad (BCP base), el curso te guía paso a paso para construirlo sin improvisar:

Curso de Gestión de Riesgos y Continuidad Operacional (BCP): Resiliencia Empresarial en Chile

KRIs básicos para monitorear (sin burocracia)

KRI = indicador de riesgo (señal temprana).

No es KPI (resultado). Es alerta.

Ejemplos de KRIs:

  • % de turnos sin reemplazo disponible
  • incidentes TI por semana
  • % entregas del proveedor crítico fuera de plazo
  • % backups completados
  • días sin stock de insumo clave
  • % roles críticos con respaldo (cross-training)

Semáforo de riesgo

Verde: bajo / controlado

Amarillo: sube tendencia / revisar

Rojo: umbral superado / acción inmediata

Esto mantiene la matriz viva.

Errores comunes (los que hacen que no funcione)

  1. Riesgos vagos (“falta de comunicación”)
  2. No definir impacto real (ventas/clientes/cumplimiento)
  3. Escalas inconsistentes (hoy 5, mañana 3)
  4. Acciones genéricas sin evidencia
  5. Sin dueño y sin fecha
  6. No monitorear KRIs
  7. No conectar con continuidad (plan B y recuperación)

Checklist para una matriz de riesgos útil

  • Riesgo escrito como evento + causa + impacto
  • Probabilidad 1–5 definida
  • Impacto 1–5 definido
  • Puntaje y priorización clara
  • Plan de tratamiento con controles preventivo/detectivo/correctivo
  • Dueño + fecha + evidencia por control
  • 3–5 KRIs con semáforo
  • Revisión mensual o trimestral

Paso a paso (7 pasos) para armar tu matriz

  1. Lista riesgos por categorías (personas/TI/proveedores/infra)
  2. Redacta cada riesgo con evento + causa + impacto
  3. Define escalas 1–5 (probabilidad e impacto)
  4. Puntúa y prioriza (mapa de calor)
  5. Define controles (preventivo/detectivo/correctivo)
  6. Asigna dueño + fecha + evidencia
  7. Define KRIs y rutina de revisión

FAQs

¿Una pyme necesita matriz de riesgos?

Sí, porque suele tener más puntos únicos de falla. La matriz te ordena lo que realmente importa.

¿Cada cuánto se revisa?

Mensual si estás muy expuesto; si no, trimestral. Y siempre después de un incidente.

¿Cómo evito burocracia?

Hazla corta: 10–20 riesgos máximo, 3–5 KRIs, controles simples. Mejor poco y vivo que mucho y muerto.

¿Esto reemplaza un plan de continuidad?

No. La matriz identifica y trata riesgos; el plan de continuidad define cómo operar cuando igual ocurre.

Cierre

Una matriz de riesgos no es un archivo. Es una herramienta para tomar decisiones: qué riesgo reducir primero, cómo controlarlo y cómo responder si ocurre.

Si quieres construir esto junto a un Plan de Continuidad Operacional base (roles, escenarios, checklists, pruebas e indicadores), con plantillas y ruta guiada, revisa el curso aquí:

Curso de Gestión de Riesgos y Continuidad Operacional (BCP): Resiliencia Empresarial en Chile
Etiquetas:

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *