Control Interno

El efecto dominó del riesgo: lo que tu matriz nunca te mostró

Detalles
Categoría de nivel principal o raíz: Blog
Control Interno

Por: Equipo Auditool 

Cómo los riesgos sistémicos se propagan silenciosamente y transforman un incidente menor en una crisis corporativa

En las organizaciones actuales, los riesgos ya no se comportan como eventos aislados. Funcionan como una red, donde una falla mínima puede activar una cadena que impacta procesos, clientes, finanzas, reputación y cumplimiento.
Sin embargo, muchas matrices de riesgo siguen tratándolos como si fueran piezas independientes. El resultado: nadie ve el efecto dominó… hasta que estalla.

En este artículo aprenderás:

  1. Qué son los riesgos interconectados y por qué son tan peligrosos.

  2. Cómo se propagan dentro de una organización.

  3. Cómo auditar estos riesgos con un enfoque sistémico (método paso a paso).

  4. Cómo presentar hallazgos claros y contundentes al Comité de Riesgos.

Este es un contenido diseñado para ayudarte a pensar como un auditor estratégico, con visión holística y anticipatoria.

🧩 1. ¿Qué son los riesgos interconectados?

COSO ERM 2017 explica que los riesgos deben evaluarse como un portafolio, considerando el conjunto y sus interacciones, no solo eventos individuales.
Un riesgo interconectado es aquel que:

  • Activa otros riesgos directa o indirectamente.

  • Aumenta su impacto cuando ocurre en simultáneo con otros.

  • Se propaga en red a través de procesos, personas, tecnología y proveedores.

En otras palabras: un riesgo aislado preocupa; un riesgo interconectado amenaza la continuidad del negocio.

💥 2. Por qué el efecto dominó es tan peligroso

Los riesgos sistémicos tienen tres características que los vuelven críticos:

1. Se propagan rápido

Una falla inicial puede expandirse a toda la organización en horas.
No respetan fronteras departamentales.

2. Generan impactos secundarios y terciarios

El verdadero daño rara vez es el impacto inicial.
El problema está en la cadena que se activa después.

3. No aparecen en las matrices tradicionales

Las matrices se enfocan en probabilidad × impacto individual, no en conexiones.
Así, los riesgos decisivos quedan ocultos.

📚 3. El efecto dominó en acción (mini casos reales)

🔸 Caso 1: Falla tecnológica → reputación → sanción

Día 1: Se cae el sistema de atención al cliente.
Día 2: Miles de quejas en redes; comienzan las cancelaciones.
Día 4: Medios nacionales cubren el incidente.
Día 10: El regulador solicita informes por incumplimientos.
Día 15: La empresa recibe una sanción y pierde un contrato clave.

En la matriz original, este riesgo estaba descrito como:

“Falla del sistema – impacto operativo”.

No decía nada del daño reputacional, legal o financiero.

🔸 Caso 2: Fraude interno → crisis de liquidez

Un fraude no detectado a tiempo genera pérdidas importantes.
Se congela el crédito con proveedores.
Se atrasan pagos operativos.
Los bancos endurecen condiciones.
La empresa enfrenta una crisis de liquidez.

La matriz decía:

“Riesgo de fraude – severidad media”.
No contemplaba el encadenamiento financiero.

🔸 Caso 3: Cambio regulatorio → fallas → sanciones

Nueva regulación tributaria.
Implementación apresurada.
Errores en sistemas internos.
Aumentan los incumplimientos.
La entidad enfrenta multas acumuladas.

Consecuencia: nadie había mapeado la interdependencia entre cumplimiento – TI – operaciones.

🧠 4. Método Auditool para auditar riesgos interconectados

Un enfoque práctico en 5 pasos.

Paso 1: Ver la organización como una red

Identifica nodos críticos, es decir, elementos que conectan muchos procesos:

  • Sistema core financiero

  • Plataforma de clientes

  • Un único proveedor crítico

  • Procesos que soportan varias unidades

  • Roles con privilegios elevados

Preguntas clave:

  • ¿Si esto falla, a cuántos afecta?

  • ¿Qué dependencias genera?

  • ¿Quién queda paralizado?

Paso 2: Mapear las cadenas de riesgo (Risk Network Map)

Construye un mapa de propagación simple y visual:

 
[ Riesgo A: Caída del sistema ] | v [ Riesgo B: Retraso en operaciones ] | v [ Riesgo C: Incumplimiento contractual ] | v [ Impacto: Sanciones + pérdida de clientes ]

O una tabla:

Riesgo disparadorRiesgo conectadoTipo de conexiónImpacto final
Falla de TI Retraso en facturación Operativo → Financiero Liquidez
Retraso en pagos Pérdida de proveedor crítico Financiero → Operativo Continuidad

Paso 3: Evaluar impactos secundarios y terciarios

Suma preguntas de auditoría como:

  • ¿Qué impactos no están documentados?

  • ¿Qué áreas sufren efectos indirectos?

  • ¿Qué dependencias externas subestiman el riesgo?

Un auditor que solo evalúa el impacto directo subestima el verdadero riesgo.

Paso 4: Revisar los controles sistémicos (no los aislados)

Evalúa:

  • Redundancias tecnológicas

  • Automatizaciones de alerta temprana

  • Backups de proveedores críticos

  • Dependencia excesiva en personas

  • Controles que previenen el encadenamiento

Recuerda:

Un control aislado protege un proceso;
un control sistémico protege a la organización completa.

Paso 5: Integrar el análisis con COSO ERM

Conecta tu evaluación con los componentes del marco:

  • Estrategia y Objetivos: ¿el riesgo afecta metas críticas?

  • Rendimiento: ¿existen KPIs y KRIs que midan cambios en el riesgo?

  • Revisión: ¿el comité supervisa los riesgos como red y no como lista?

  • Gobernanza: ¿la cultura reconoce la interdependencia o trabaja en silos?

Esto eleva tu auditoría al estándar internacional.

🚨 5. Señales de alerta: cómo detectar un riesgo sistémico oculto

Si ves 3 o más, estás frente a un riesgo interconectado no gestionado.

  • Un proceso crítico aparece en múltiples mapas.

  • Un mismo incidente afecta varias áreas.

  • Controles dependen de una sola persona o proveedor.

  • La matriz lista riesgos aislados sin mencionar relaciones.

  • Existen impactos secundarios no documentados.

  • Los KPIs están desconectados de los riesgos reales.

📣 6. Cómo presentar hallazgos al Comité de Riesgos

Los directivos no necesitan más tablas; necesitan historias de riesgo claras y visuales.

Recomendación:

  1. Muestra el riesgo disparador.

  2. Expón la cadena interconectada.

  3. Marca los puntos de falla.

  4. Evidencia el impacto estratégico.

  5. Propón controles sistémicos o rediseños.

Frases poderosas para tus reportes:

  • “Este riesgo no es crítico por su probabilidad, sino por la cantidad de riesgos que activa.”

  • “La organización no enfrenta un evento, sino una red de riesgos actualmente subestimada.”

✔️ 7. Checklist rápido para auditar riesgos interconectados

Úsalo en tus próximas revisiones:

  • ¿Hay procesos que, si fallan, afectan 3 o más áreas?

  • ¿Existe dependencia crítica en un proveedor o persona?

  • ¿Se repiten causas raíz en distintos incidentes?

  • ¿Los mapas de procesos muestran interdependencias claras?

  • ¿La matriz contiene riesgos aislados sin conexiones?

  • ¿Se han evaluado impactos secundarios y terciarios?

  • ¿Existen KRIs asociados a riesgos desencadenantes?

  • ¿El Comité revisa riesgos en red o solo individuales?

Escribir un comentario

Enviar
Aviso Cookies

Usamos cookies en nuestro sitio web. Algunas de ellas son esenciales para el funcionamiento del sitio, mientras que otras nos ayudan a mejorar el sitio web y también la experiencia del usuario (cookies de rastreo). Puedes decidir por ti mismo si quieres permitir el uso de las cookies. Ten en cuenta que si las rechazas, puede que no puedas usar todas las funcionalidades del sitio web.

De acuerdo Rechazar
× Progressive Web App | Add to Homescreen

Para instalar esta Web App en su iPhone/iPad presione el ícono. Progressive Web App | Share Button Y luego Agregar a la pantalla de inicio.

Desconectado