Por: Equipo Auditool
En auditoría y gestión de riesgos estamos acostumbrados a evaluar los riesgos considerando dos variables clave: impacto y probabilidad. Sin embargo, hay una tercera dimensión que se ha vuelto crítica en el contexto actual: la risk velocity o velocidad del riesgo.
¿Qué es la risk velocity?
La risk velocity mide la rapidez con la que un riesgo puede materializarse y generar consecuencias en la organización. En pocas palabras, no solo se trata de qué tan probable o grave es un riesgo, sino de cuánto tiempo tenemos para reaccionar cuando ocurre.
-
Alta velocidad: materialización inmediata (ejemplo: un ciberataque exitoso).
-
Velocidad media: materialización en semanas o meses (ejemplo: interrupción de un proveedor por huelga).
-
Baja velocidad: materialización en años (ejemplo: obsolescencia tecnológica o riesgos climáticos).
¿Por qué es clave para los auditores?
Incorporar la Risk Velocity permite a los auditores:
-
Priorizar riesgos urgentes que pueden sorprender a la organización en horas o días.
-
Diseñar controles más rápidos y automatizados cuando el riesgo no da margen de reacción.
-
Comunicar de forma clara a la alta dirección cuánto tiempo tiene la empresa para responder a cada riesgo identificado.
Ejemplo práctico
Supongamos que estamos evaluando distintos riesgos tecnológicos y operativos. Al incluir la dimensión de risk velocity, la priorización cambia radicalmente:
| Riesgo | Impacto (1-5) | Probabilidad (1-5) | Velocidad (1-3) | Comentario clave |
|---|---|---|---|---|
| Ciberataque con ransomware | 5 (crítico) | 4 (alta) | 3 (alta: horas/días) | Requiere controles inmediatos (backups, respuesta a incidentes, ciberseguro). |
| Obsolescencia tecnológica en sistemas heredados | 4 (alto) | 3 (media) | 1 (baja: años) | Puede gestionarse con planes de renovación tecnológica. |
| Pérdida de un proveedor crítico en la nube | 5 (crítico) | 3 (media) | 3 (alta: días) | Urgente definir contratos con cláusulas de continuidad y proveedores alternos. |
| Riesgo regulatorio por nueva ley fiscal | 3 (moderado) | 4 (alta) | 2 (media: meses) | Se puede gestionar con seguimiento normativo y capacitaciones previas. |
| Falta de talento en ciberseguridad | 4 (alto) | 3 (media) | 1 (baja: años) | Estrategia de largo plazo: contratación, retención y capacitación. |
👉 Al observar la tabla, notamos que aunque la obsolescencia tecnológica tiene alto impacto, su baja velocidad permite planificar con calma. En cambio, un ciberataque de ransomware, con alta velocidad, exige atención inmediata incluso si la probabilidad fuese más baja.
Cómo medir la risk velocity
-
Alta: materialización en horas/días.
-
Media: materialización en semanas/meses.
-
Baja: materialización en años.
Este criterio, agregado a la clásica matriz de impacto/probabilidad, transforma la visión del auditor en un análisis tridimensional de riesgos.
Reflexión final
La auditoría que solo mide impacto y probabilidad se queda corta en un entorno donde los riesgos pueden explotar en cuestión de horas. La Risk Velocity es la métrica que permite a los auditores anticipar y reaccionar con agilidad, agregando un valor incuestionable a la gestión de riesgos empresariales.
👉 Pregunta para los lectores de Auditool:
Si hoy tuvieras que priorizar, ¿qué riesgos en tu organización tienen una velocidad tan alta que no te dejarían tiempo para reaccionar?
Y luego Agregar a la pantalla de inicio.
Escribir un comentario