Diagrama de flujo de evaluación de riesgos: identificar y mitigar riesgos empresariales
Aprenda a crear un diagrama de flujo de evaluación de riesgos que identifique, analice y mitigue los riesgos empresariales. Incluye plantillas para riesgos de TI, financieros y de proyectos.
Todas las empresas se enfrentan a riesgos: fallos operativos, pérdidas financieras, infracciones de cumplimiento, ciberataques. Las organizaciones que gestionan bien el riesgo no son las que evitan la incertidumbre; son las que tienen un proceso sistemático para identificarla y responder a ella. Un diagrama de flujo de evaluación de riesgos convierte ese proceso en algo repetible, auditable y enseñable.
Esta guía recorre la construcción de un diagrama de flujo completo de evaluación de riesgos, desde la identificación inicial hasta el seguimiento y la revisión. Cubre las principales categorías de riesgo, los criterios de decisión en cada etapa y ejemplos específicos de la industria que puede adaptar de inmediato.
Qué hace un diagrama de flujo de evaluación de riesgos
Un diagrama de flujo de evaluación de riesgos documenta el proceso de su organización para evaluar las amenazas potenciales y decidir qué hacer al respecto. A diferencia de un registro de riesgos estático o una hoja de cálculo, un diagrama de flujo hace explícita la lógica de decisión: quién hace qué, bajo qué condiciones y qué sucede a continuación.
El valor está en el proceso, no solo en el resultado:
- Los nuevos miembros del equipo siguen los mismos pasos que los veteranos
- Los auditores pueden ver que existe un proceso definido y se sigue
- Las lagunas en la cobertura se vuelven visibles cuando ningún paso maneja un escenario en particular
- Tratamiento consistente entre departamentos y tipos de riesgo
El marco central de evaluación de riesgos
La mayoría de los marcos de riesgo siguen la misma estructura general, independientemente de la industria o el tipo de riesgo:
┌──────────────┐
│ Identificar │
│ el riesgo │
└──────┬───────┘
│
▼
┌──────────────┐
│ Analizar │
│ probabilidad│
│ e impacto │
└──────┬───────┘
│
▼
┌──────────────┐
│ Evaluar │
│ nivel de │
│ riesgo │
└──────┬───────┘
│
▼
┌────────────────────────────────────────────────────────┐
│ Tratar: Aceptar / Mitigar / Transferir / Evitar │
└──────┬─────────────────────────────────────────────────┘
│
▼
┌──────────────┐
│ Implementar │
│ controles │
└──────┬───────┘
│
▼
┌──────────────┐
│ Monitorear │
│ y revisar │
└──────────────┘
Cada etapa tiene su propia lógica de decisión, y el proceso se retroalimenta: el seguimiento alimenta nueva información al siguiente ciclo de identificación.
Etapa 1: Identificación de riesgos
El primer paso es identificar los riesgos potenciales antes de que se materialicen. Esta etapa responde a: ¿qué podría salir mal?
Fuentes comunes para la identificación de riesgos:
- Incidentes históricos — ¿Qué salió mal en el pasado, interna o en organizaciones similares?
- Mapeo de procesos — Recorra cada proceso de negocio y pregunte dónde podrían ocurrir fallos
- Entrevistas con expertos — Los jefes de departamento y el personal de primera línea a menudo conocen los riesgos que no aparecen en los informes
- Fuentes externas — Informes de la industria, orientación regulatoria, fuentes de inteligencia sobre amenazas
- Eventos de cambio — Nuevos sistemas, adquisiciones, cambios de mercado, cambios regulatorios
El resultado de esta etapa es una lista de riesgos en bruto. En este punto, no ocurre ningún filtrado: capture todo antes de evaluar.
┌─────────────────────┐
│ Disparador: nuevo │
│ riesgo │
│ identificado │
└──────────┬──────────┘
│
▼
┌─────────────────────┐
│ ¿Es esta una │
│ variante de un │
│ riesgo conocido? │
└──────────┬──────────┘
│
┌──────┴──────┐
Sí No
│ │
▼ ▼
┌───────────┐ ┌───────────────┐
│ Actualizar│ │ Crear nuevo │
│ registro │ │ registro de │
│ existente │ │ riesgo │
└───────────┘ └───────┬───────┘
│
▼
┌────────────────┐
│ Asignar │
│ propietario │
│ del riesgo │
└────────┬───────┘
│
▼
┌────────────────┐
│ Proceder al │
│ análisis │
└────────────────┘
Cada riesgo identificado debe tener un propietario: una persona nombrada responsable de rastrearlo y responder a él.
Etapa 2: Análisis de riesgos
El análisis cuantifica el riesgo usando dos dimensiones: probabilidad (¿qué tan probable es que ocurra?) e impacto (¿qué tan grave sería si ocurriera?).
Matriz de Probabilidad x Impacto
| Impacto \ Probabilidad | Raro (1) | Poco probable (2) | Posible (3) | Probable (4) | Casi seguro (5) |
|---|---|---|---|---|---|
| Catastrófico (5) | 5 | 10 | 15 | 20 | 25 |
| Mayor (4) | 4 | 8 | 12 | 16 | 20 |
| Moderado (3) | 3 | 6 | 9 | 12 | 15 |
| Menor (2) | 2 | 4 | 6 | 8 | 10 |
| Insignificante (1) | 1 | 2 | 3 | 4 | 5 |
Puntuación = Probabilidad x Impacto. Esta puntuación impulsa la evaluación en la Etapa 3.
┌─────────────────────┐
│ Evaluar │
│ probabilidad │
│ (escala 1-5) │
└──────────┬──────────┘
│
▼
┌─────────────────────┐
│ Evaluar impacto │
│ (escala 1-5) │
└──────────┬──────────┘
│
▼
┌─────────────────────┐
│ Calcular │
│ puntuación de │
│ riesgo = P x I │
└──────────┬──────────┘
│
▼
┌─────────────────────┐
│ Documentar riesgo │
│ inherente │
│ (antes de control) │
└──────────┬──────────┘
│
▼
┌─────────────────────┐
│ ¿Existen controles │
│ ya implementados? │
└──────────┬──────────┘
│
┌──────┴──────┐
Sí No
│ │
▼ ▼
┌─────────────┐ ┌────────────────┐
│ Documentar │ │ Documentar │
│ puntuación │ │ puntuación de │
│ de riesgo │ │ riesgo sin │
│ residual │ │ control │
└─────┬───────┘ └───────┬────────┘
└──────────────────┘
│
▼
┌─────────────────────┐
│ Proceder a │
│ la evaluación │
└─────────────────────┘
Evaluar tanto el riesgo inherente (antes de controles) como el riesgo residual (después de controles) muestra si sus controles existentes realmente funcionan.
Etapa 3: Evaluación de riesgos
La evaluación convierte la puntuación en una decisión: ¿es este riesgo aceptable tal como está, o requiere acción?
La mayoría de los marcos usan tres bandas de riesgo:
| Puntuación | Banda | Acción predeterminada |
|---|---|---|
| 15-25 | Alta | Acción inmediata requerida |
| 8-14 | Media | Acción requerida dentro del plazo definido |
| 1-7 | Baja | Monitorear; aceptar si no existe control rentable |
┌─────────────────┐
│ Puntuación │
│ de riesgo │
└────────┬────────┘
│
┌───────────────┼───────────────┐
│ │ │
Puntaje 1-7 Puntaje 8-14 Puntaje 15-25
│ │ │
▼ ▼ ▼
┌────────────┐ ┌─────────────┐ ┌────────────┐
│ BAJA │ │ MEDIA │ │ ALTA │
│ Aceptar o │ │ Acción │ │ Acción │
│ monitorear │ │ en 90 días │ │ inmediata │
│ │ │ │ │ requerida │
└────────────┘ └─────────────┘ └────────────┘
│ │ │
└───────────────┴───────────────┘
│
▼
┌─────────────────────┐
│ Seleccionar │
│ estrategia de │
│ tratamiento │
└─────────────────────┘
Etapa 4: Tratamiento de riesgos
Una vez evaluado un riesgo, elige cómo manejarlo. Hay cuatro opciones de tratamiento estándar:
| Tratamiento | Definición | Cuándo usar |
|---|---|---|
| Aceptar | Reconocer el riesgo, no tomar ninguna acción | Riesgos de baja puntuación donde el costo del control supera la pérdida potencial |
| Mitigar | Implementar controles para reducir la probabilidad o el impacto | La mayoría de los riesgos medios y altos |
| Transferir | Trasladar el riesgo a otra parte (seguros, contratos) | Riesgos con impacto financiero cuantificable |
| Evitar | Detener la actividad que crea el riesgo | Riesgos altos donde no existe una mitigación rentable |
┌─────────────────────┐
│ ¿El costo del │
│ tratamiento es │
│ menor que la │
│ pérdida esperada? │
└──────────┬──────────┘
│
┌──────┴──────┐
Sí No
│ │
▼ ▼
┌──────────┐ ┌──────────────────────┐
│ Mitigar │ │ Aceptar, transferir │
│ │ │ o evitar │
└────┬─────┘ └──────────┬───────────┘
│ │
└─────────┬─────────┘
│
▼
┌────────────────────────┐
│ ¿Se puede transferir │
│ el riesgo (asegurado, │
│ externalizado)? │
└───────────┬────────────┘
│
┌──────┴──────┐
Sí No
│ │
▼ ▼
┌─────────┐ ┌────────────────────┐
│Transferir│ │ ¿Se puede detener │
└─────────┘ │ la actividad que │
│ genera el riesgo? │
└────────┬───────────┘
│
┌──────┴──────┐
Sí No
│ │
▼ ▼
┌────────┐ ┌────────┐
│ Evitar │ │Aceptar │
└────────┘ │ con │
│revisión│
└────────┘
Etapa 5: Planificación de la mitigación
Para los riesgos que elige mitigar, el siguiente paso es definir controles específicos y asignar responsabilidad.
Un plan de mitigación responde cuatro preguntas:
- Qué control se implementará
- Quién es responsable de implementarlo
- Cuándo se completará
- Cómo se medirá la efectividad
┌─────────────────────────┐
│ Definir tipo de control:│
│ - Preventivo │
│ - Detective │
│ - Correctivo │
└──────────┬──────────────┘
│
▼
┌─────────────────────────┐
│ Asignar propietario │
│ del control y plazo │
└──────────┬──────────────┘
│
▼
┌─────────────────────────┐
│ Definir métrica de │
│ éxito (¿cómo sabrá │
│ que funciona?) │
└──────────┬──────────────┘
│
▼
┌─────────────────────────┐
│ Estimar riesgo residual│
│ después del control │
└──────────┬──────────────┘
│
▼
┌─────────────────────────┐
│ ¿Riesgo residual │
│ aceptable? │
└──────────┬──────────────┘
│
┌──────┴──────┐
Sí No
│ │
▼ ▼
┌──────────┐ ┌────────────────┐
│ Proceder │ │ Agregar │
│ a │ │ controles │
│implementar│ │ adicionales o │
│ │ │ reconsiderar │
│ │ │ el tratamiento │
└──────────┘ └────────────────┘
Etapa 6: Seguimiento y revisión
La evaluación de riesgos no es un ejercicio de una sola vez. Los riesgos cambian a medida que cambia el negocio, y los controles se degradan con el tiempo.
┌─────────────────────┐
│ Establecer │
│ frecuencia de │
│ revisión: │
│ Alta: Trimestral │
│ Media: Semestral │
│ Baja: Anual │
└──────────┬──────────┘
│
▼
┌─────────────────────┐
│ ¿Evento disparador?│
│ (incidente, │
│ auditoría, │
│ cambio importante) │
└──────────┬──────────┘
│
┌──────┴──────┐
Sí No
│ │
▼ ▼
┌──────────┐ ┌──────────────────┐
│ Revisión │ │ Esperar la │
│ inmediata│ │ revisión │
│ │ │ programada │
└────┬─────┘ └────────┬─────────┘
└─────────────────┘
│
▼
┌─────────────────────┐
│ ¿El control sigue │
│ siendo efectivo? │
└──────────┬──────────┘
│
┌──────┴──────┐
Sí No
│ │
▼ ▼
┌────────────┐ ┌────────────────┐
│ Continuar │ │ Actualizar el │
│ el │ │ control o │
│ seguimiento│ │ re-evaluar la │
│ │ │ puntuación │
└────────────┘ └────────┬───────┘
│
▼
┌─────────────────┐
│ Volver a │
│ Etapa 3: │
│ Evaluación │
└─────────────────┘
Categorías de riesgo y ejemplos específicos por dominio
Riesgo operativo
Los riesgos operativos surgen de personas, procesos, sistemas y eventos externos.
| Ejemplo de riesgo | Probabilidad | Impacto | Tratamiento |
|---|---|---|---|
| Salida de personal clave | Probable | Mayor | Mitigar: capacitar a varios, documentar procesos |
| Fallo de proveedor | Posible | Mayor | Mitigar: fuentes dobles; Transferir: penalizaciones |
| Error de entrada de datos | Casi seguro | Menor | Mitigar: controles de validación |
| Inundación de oficina | Raro | Catastrófico | Transferir: seguro; Mitigar: sitio de respaldo |
Diagrama de flujo de evaluación de riesgos de seguridad de TI:
┌───────────────────────┐
│ Amenaza de seguridad │
│ identificada │
└──────────┬────────────┘
│
▼
┌───────────────────────┐
│ ¿El sistema está │
│ expuesto externamente?│
└──────────┬────────────┘
│
┌──────┴──────┐
Sí No
│ │
▼ ▼
┌──────────┐ ┌──────────────────┐
│ Riesgo │ │ ¿El sistema está │
│ de alta │ │ en la red │
│ exposición│ │ interna? │
└────┬─────┘ └────────┬─────────┘
│ ┌──────┴──────┐
│ Sí No
│ │ │
│ ▼ ▼
│ ┌────────┐ ┌──────────┐
│ │ Riesgo │ │ Riesgo │
│ │ medio │ │ bajo │
│ └────────┘ └──────────┘
│ │ │
└──────────┴─────────────┘
│
▼
┌─────────────────────┐
│ Aplicar controles: │
│ parches, MFA, │
│ segmentación de red,│
│ monitoreo │
└─────────────────────┘
Riesgo financiero
Los riesgos financieros afectan el flujo de efectivo, la rentabilidad o el balance.
Puntos de decisión comunes en diagramas de flujo de riesgo financiero:
- Exposición cambiaria: ¿El riesgo supera un umbral definido? Si es así, considere instrumentos de cobertura.
- Riesgo de crédito: ¿La contraparte cumple con los criterios de crédito? Si no, requiera garantías o rechace.
- Riesgo de liquidez: ¿Los activos líquidos son suficientes para cubrir 90 días de gastos operativos? Si no, active una revisión de gestión del efectivo.
Riesgo de proyecto
Los riesgos de proyecto están limitados en el tiempo. Un riesgo que importa en la semana 1 puede ser irrelevante en la semana 10.
┌───────────────────────┐
│ Nuevo riesgo de │
│ proyecto identificado │
└──────────┬────────────┘
│
▼
┌───────────────────────┐
│ ¿El riesgo está en la │
│ ruta crítica? │
└──────────┬────────────┘
│
┌──────┴──────┐
Sí No
│ │
▼ ▼
┌──────────┐ ┌────────────────────┐
│ Acción │ │ Agregar al registro│
│ inmediata│ │ de riesgos, │
│ requerida│ │ monitorear en │
│ │ │ reunión semanal │
└──────────┘ └────────────────────┘
Riesgo de cumplimiento
Los riesgos de cumplimiento provienen de requisitos regulatorios, contratos y políticas internas.
Decisión clave: ¿Existe un plazo regulatorio específico? Si es así, el cronograma de mitigación no es negociable: el cumplimiento no es opcional.
Riesgo reputacional
Los riesgos reputacionales son más difíciles de cuantificar pero a menudo los más consecuentes. Un indicador útil: si este riesgo se materializara y se hiciera público, ¿cómo afectaría la confianza del cliente, el precio de las acciones o el reclutamiento?
Para los riesgos reputacionales, la decisión de tratamiento a menudo implica planificación de comunicaciones junto con controles operativos.
Construir su diagrama de flujo de evaluación de riesgos con Flowova
Crear un diagrama de flujo completo de evaluación de riesgos desde cero lleva mucho tiempo. La herramienta de texto a diagrama de flujo de Flowova le permite describir su proceso de riesgos en lenguaje natural y genera un diagrama de flujo estructurado en segundos. Luego puede editar nodos directamente, agregar ramas de decisión y ajustar el diseño sin tocar manualmente un lienzo de diagramación.
Para organizaciones que adaptan un marco de riesgo existente (ISO 31000, COSO ERM, NIST RMF), las plantillas de diagramas de flujo de Flowova proporcionan un punto de partida que puede adaptar a su industria específica y apetito de riesgo.
Errores comunes en los diagramas de flujo de evaluación de riesgos
Confundir probabilidad con impacto. Un riesgo de alta probabilidad y bajo impacto (como un atasco de impresora) obtiene una puntuación más baja que un riesgo de baja probabilidad y alto impacto (como una violación de datos). Distinga claramente las dos dimensiones en su lógica de puntuación.
Sin propiedad clara. Un riesgo sin propietario no es problema de nadie. Cada registro de riesgo debe tener una persona nombrada, no un departamento o comité.
Tratar el seguimiento como opcional. El bucle de seguimiento es lo que hace que la evaluación de riesgos sea continua en lugar de un ejercicio de cumplimiento de una sola vez. Incorpórelo al diagrama de flujo y asigne la responsabilidad explícitamente.
Puntuaciones de riesgo desactualizadas. Los controles que funcionaron hace dos años pueden ya no ser efectivos. Programe revisiones y actívelas en eventos significativos: una nueva implementación del sistema, un cambio regulatorio, un incidente de la industria.
Aprobado/rechazado binario. El tratamiento de riesgo real rara vez es aceptar/rechazar. Incorpore las cuatro opciones de tratamiento (aceptar, mitigar, transferir, evitar) como caminos distintos, cada uno con sus propios criterios de decisión.
Conclusión
Un diagrama de flujo de evaluación de riesgos convierte una obligación de gobernanza abstracta en un proceso concreto y repetible. Al documentar cada etapa — identificación, análisis, evaluación, tratamiento, implementación y seguimiento — crea un sistema que cualquier miembro del equipo puede seguir y cualquier auditor puede validar.
Comience con el flujo principal de seis etapas y luego agregue lógica de decisión específica del dominio para sus categorías de riesgo de mayor prioridad. Revise el propio diagrama de flujo al menos anualmente: si su negocio ha cambiado, el proceso de riesgo debe reflejarlo.
Recursos relacionados
- Guía de mapeo de procesos — Mapeo y mejora de flujos de trabajo operativos
- Guía de diagramas de carriles de natación — Responsabilidad entre funciones en diagramas de flujo
- Árbol de decisión vs diagrama de flujo — Elegir el tipo de diagrama correcto
- Herramienta de texto a diagrama de flujo — Convertir descripciones de riesgos en diagramas instantáneamente
