Conocimiento · Risk & control

Risk & control matrix (RCM)

Una risk & control matrix vincula los riesgos de sus procesos con los controles que los cubren. Es el núcleo de la gestión de riesgos en los procesos: muestra qué puede salir mal, cómo lo controla, quién es responsable de ello y dónde tiene todavía huecos.

¿Qué es una risk & control matrix?

La risk & control matrix (RCM), también llamada risk-control matrix o matriz de controles, es una visión estructurada que conecta cada riesgo con los controles que lo cubren. Mientras que un registro de riesgos solo enumera qué puede salir mal, la RCM añade la otra mitad: cómo lo controla. En cada fila ve el riesgo, el control asociado, el propietario, la frecuencia y la efectividad.

Esa combinación convierte la RCM en el caballo de batalla del control interno y la auditoría. Es la base para demostrar que una organización está bajo control: no con palabras, sino con una vinculación trazable entre riesgo y medida.

¿De qué se compone una RCM?

Las columnas exactas varían según la organización, pero una risk & control matrix útil contiene casi siempre los siguientes elementos:

ElementoQué se registra
Paso de procesoLa actividad a la que se aplica el riesgo — el punto de anclaje de la RCM.
RiesgoQué puede salir mal, y por qué eso afecta a los objetivos.
Causa y efectoEl origen del riesgo y el impacto si se produce.
Probabilidad × impactoLa estimación de la probabilidad y la gravedad, a menudo como riesgo bruto y neto.
ControlLa medida que reduce o detecta el riesgo.
Tipo de controlPreventivo o detectivo, y manual o automatizado.
FrecuenciaCon qué frecuencia se ejecuta el control — continuo, diario, por evento.
PropietarioQuién es responsable del funcionamiento del control.

Muchas organizaciones trabajan con un riesgo bruto y uno neto: el riesgo bruto es la estimación antes del control, y el riesgo neto es el riesgo residual posterior. La diferencia muestra cuánto añaden realmente los controles.

Controles preventivos frente a detectivos

Los controles se dividen a grandes rasgos en dos tipos. Una buena RCM equilibra ambos y, además, distingue entre controles manuales y automatizados — estos últimos suelen ser más fiables y más fáciles de comprobar.

Preventivo

Evita que un riesgo se produzca. Por ejemplo, la segregación de funciones, una segunda aprobación obligatoria antes de un pago, o validaciones del sistema que bloquean entradas erróneas.

Detectivo

Señala a posteriori que algo ha salido mal. Por ejemplo, conciliaciones periódicas, informes de excepciones o una revisión de archivos de registro. Imprescindible como broche final de la prevención.

Gestión de riesgos en los procesos

Los riesgos no surgen en un registro — surgen en el trabajo. Una factura que se paga sin control, un cambio que pasa a producción sin revisión, datos que pasan por las manos equivocadas: todos son riesgos que residen en un paso de proceso concreto. Y sin embargo, muchas organizaciones gestionan su RCM como un documento independiente, separado de los procesos que describe.

Eso falla en cuanto cambia el proceso. El control que describió hace meses ya no encaja con la nueva forma de trabajar — pero solo se da cuenta en la siguiente auditoría. La solución es vincular los riesgos y los controles al paso de proceso, de modo que el control y el proceso se muevan juntos. Así ve de un vistazo qué pasos están cubiertos de forma insuficiente y qué roles (a través de la matriz RASCI) están implicados en ese control.

Cómo construir una risk & control matrix

  1. 1

    Defina el alcance

    Determine qué proceso o procesos incluye en la RCM y hasta qué nivel de detalle.

  2. 2

    Inventaríe los riesgos por paso

    Recorra los pasos de proceso y, por cada paso, indique qué puede salir mal, con causa y efecto.

  3. 3

    Valore el riesgo

    Estime la probabilidad y el impacto (riesgo bruto) para priorizar dónde se necesita control.

  4. 4

    Vincule los controles

    Asigne uno o más controles por riesgo y registre si son preventivos o detectivos.

  5. 5

    Defina propietario y frecuencia

    Registre quién ejecuta el control y con qué frecuencia, para que su funcionamiento sea comprobable.

  6. 6

    Evalúe el riesgo neto

    Determine el riesgo residual tras el control y repita el ciclo de forma periódica.

Una RCM viva y vinculada

La diferencia entre una RCM que funciona y una que se queda obsoleta está en la vinculación. En Proceshuis, la risk & control matrix es un objeto vivo y vinculado en lugar de un registro aparte: los riesgos y los controles se asocian directamente al paso de proceso, junto con los roles, los sistemas y los datos de ese mismo paso. Si cambia el proceso, el control cambia con él. Y cada modificación de un riesgo o un control es trazable en la propia actividad — quién cambió qué y cuándo — de modo que puede demostrar el funcionamiento de su control.

Así da soporte a las formas de trabajar detrás de marcos como Three Lines of Defense, ISO 27001 y RGPD — modelando en el proceso los riesgos, los controles y la propiedad asociados. Conviene ser honesto sobre lo que sí y lo que no está integrado: en este momento, el benchmark APQC está realmente integrado y se reporta, con un porcentaje de cobertura. Los marcos normativos mencionados son formas de trabajar soportadas; esa capa de marco normativo llave en mano la vamos ampliando paso a paso.

Riesgo ↔ control ↔ proceso, en un único modelo

No un registro aparte que se queda obsoleto, sino un control que se asocia al paso de proceso — con RASCI y cobertura APQC. Así demuestra que tiene todo bajo control.

Preguntas frecuentes sobre la risk & control matrix

¿Qué es una risk & control matrix (RCM)?+

Una risk & control matrix es una visión que registra, por cada riesgo, qué control cubre ese riesgo, quién es el propietario, con qué frecuencia se ejecuta el control y cómo de efectivo es. La RCM conecta los riesgos con los controles, idealmente vinculados al paso de proceso al que se aplican.

¿Cuál es la diferencia entre un registro de riesgos y una risk & control matrix?+

Un registro de riesgos enumera los riesgos. Una risk & control matrix va un paso más allá y vincula a cada riesgo los controles, con propietario, frecuencia y efectividad. Así, la RCM no solo muestra qué puede salir mal, sino también cómo lo controla.

¿Cuál es la diferencia entre un control preventivo y uno detectivo?+

Un control preventivo evita que un riesgo se produzca — por ejemplo, una segunda aprobación obligatoria antes de un pago. Un control detectivo señala a posteriori que algo ha salido mal — por ejemplo, una conciliación periódica o un informe de excepciones. Un control sano combina ambos.

¿Por qué vincular los riesgos y los controles al proceso?+

Porque los riesgos surgen en el propio trabajo. Un registro de riesgos independiente se queda obsoleto en cuanto cambia el proceso. Si vincula sus riesgos y controles al paso de proceso, el control sigue moviéndose con el proceso y ve de inmediato qué pasos están cubiertos de forma insuficiente.

¿Proceshuis da soporte a Three Lines of Defense e ISO 27001?+

Proceshuis da soporte a esas formas de trabajar al permitirle modelar los riesgos, los controles, los roles y la propiedad asociados y vincularlos al proceso. Eso es algo distinto de un marco normativo llave en mano: en este momento, APQC está integrado y se reporta; la capa de marco normativo la vamos ampliando paso a paso.

Keep reading

Set up your process house today.

Explore the fully populated demo environment or book a tailored demo — and see how RASCI, risk & control and the APQC benchmark all hang off a single process step.

Risk & control matrix (RCM): gestión de riesgos en los procesos — Proceshuis