A la 1:24 de la madrugada del 26 de marzo de 2024, el buque portacontenedores Dali sufrió un apagón total mientras salía del Puerto de Baltimore. Tres minutos después, su proa impactaba contra uno de los pilares del puente Francis Scott Key. La estructura se derrumbó en segundos. Seis trabajadores murieron. El canal quedó bloqueado durante 11 semanas. El impacto económico superó los 15 millones de dólares diarios, y el costo total de reconstrucción se estima entre 4.300 y 5.200 millones de dólares.
Lo que desencadenó esta catástrofe no fue un evento extraordinario. Fue un cable eléctrico mal instalado.
Este caso no es solo una tragedia de infraestructura. Es una lección magistral sobre la mayor debilidad que persiste hoy en la gestión de riesgos no financieros de las organizaciones: la incapacidad de ver cómo los riesgos se encadenan, se amplifican y se transforman unos en otros hasta que ya es demasiado tarde para reaccionar.
El problema estructural: riesgos gestionados en compartimentos estancos
Durante décadas, las organizaciones han construido sus marcos de gestión de riesgos no financieros con una lógica de catálogo: se identifican los riesgos, se clasifican por categoría (operacional, tecnológico, reputacional, de cumplimiento, de terceros), se les asigna un color en una matriz y se distribuyen entre responsables de primera y segunda línea. El resultado es un mapa de riesgos prolijo, bien documentado y, en la práctica, profundamente inútil frente a la realidad.
El problema es que los riesgos no respetan las fronteras de los silos organizacionales. Un fallo técnico se convierte en un riesgo operacional que escala a crisis reputacional en cuestión de horas. Una vulnerabilidad en un proveedor de servicios tecnológicos se transforma en un incidente de cumplimiento regulatorio antes de que el equipo de riesgos haya convocado su primera reunión de crisis. Un cable mal instalado tumba un puente, bloquea un puerto, paraliza cadenas de suministro globales y pone en riesgo más de 20.000 empleos directos.
Esta interdependencia no es una excepción. Es la norma en el entorno actual.
La ilusión de control de los mapas de riesgos tradicionales
Los comités de riesgo, los Chief Risk Officers y los equipos de auditoría interna en sectores regulados como banca, salud, logística y tecnología conocen bien la rutina: actualización trimestral del registro de riesgos, heat maps con escalas de probabilidad e impacto, reportes a la alta dirección con el semáforo de turno. Esta metodología tiene valor, pero presenta una limitación crítica que la industria viene discutiendo con creciente urgencia desde 2023: trata los riesgos como eventos independientes cuando son, en realidad, nodos de una red.
Gartner y AuditBoard han documentado en sus estudios más recientes que la mayoría de las organizaciones gestionan los riesgos no financieros de forma aislada, sin modelar las dependencias causales entre ellos. Esto tiene consecuencias concretas: las organizaciones subestiman el impacto real de los riesgos porque no contabilizan los efectos de segunda y tercera derivada, y sobreinvierten en controles sobre riesgos de baja causalidad mientras dejan expuestos los verdaderos puntos de fractura del sistema.
En el caso de Baltimore, las investigaciones del NTSB revelaron que el buque Dali había experimentado dos apagones el día anterior al incidente, aún en puerto. Estos eventos no desencadenaron ninguna acción de mitigación eficaz porque cada uno fue gestionado como un problema técnico puntual, sin leer la señal de riesgo sistémico que representaban. El riesgo operacional estaba ahí, visible, pero nadie lo conectó con el riesgo de seguridad de la infraestructura, ni con el riesgo económico del puerto, ni con el riesgo reputacional de la industria marítima. Cada quien miraba su parte del mapa.
La nueva taxonomía: de inventario de riesgos a red de causalidades
La respuesta no está en añadir más categorías al mapa de riesgos. Está en cambiar radicalmente el modelo mental con el que se construye ese mapa.
Los marcos internacionales más maduros apuntan en esta dirección. ISO 31000:2018 enfatiza explícitamente la necesidad de comprender el contexto de interdependencias antes de evaluar cualquier riesgo individual. COSO ERM, en su versión actualizada, insiste en que los riesgos no deben identificarse como eventos aislados sino como factores interconectados que influyen sobre los objetivos estratégicos de la organización. La integración de ambos marcos —ISO 31000 como filosofía de gestión continua y dinámica, y COSO ERM como arquitectura de control y gobernanza— ofrece hoy la base más sólida para construir lo que los líderes de riesgo ya denominan una taxonomía integrada: un modelo que no solo enumera riesgos, sino que mapea sus relaciones causales, sus nodos de amplificación y sus cadenas de transmisión.
En términos prácticos, esto implica reemplazar las hojas de cálculo estáticas y las matrices bidimensionales por sistemas que permitan monitorear indicadores clave de riesgo (KRIs) en tiempo real, identificar los riesgos raíz que tienen mayor capacidad de generar efectos en cascada, y simular escenarios de propagación para priorizar los recursos de mitigación donde realmente importa.
El impacto en sectores regulados de Latinoamérica
Para los líderes de riesgo en banca, salud, logística y tecnología en la región iberoamericana, este desafío tiene una dimensión adicional: la velocidad de transmisión entre categorías de riesgo es más alta que en mercados con mayor madurez regulatoria e infraestructura de control. Un incidente de seguridad de la información en una entidad financiera puede convertirse en una sanción regulatoria, una crisis de reputación pública y una demanda de clientes en un plazo de 48 a 72 horas. Un fallo en la cadena de suministro de insumos médicos críticos escala en horas a un riesgo de continuidad operacional con impacto directo sobre la vida de los pacientes.
La buena noticia es que las organizaciones que han dado el salto desde el modelo de silos hacia una gestión integrada de riesgos no financieros reportan beneficios concretos y medibles: mayor capacidad de anticipación ante amenazas emergentes, reducción del tiempo de respuesta ante crisis, menor duplicación de controles entre líneas de defensa y una relación más eficiente con reguladores y auditores externos.
Tres preguntas para que su organización se autoevalúe
Si usted lidera una función de riesgo, auditoría interna, cumplimiento o continuidad del negocio, le propongo tres preguntas que no deberían tardar en responderse:
¿Su registro de riesgos no financieros modela las dependencias causales entre categorías, o simplemente las enumera? ¿Su metodología de evaluación incorpora escenarios de cascada que integren riesgos operacionales, tecnológicos, reputacionales y regulatorios en un mismo ejercicio? ¿Los reportes que llegan a su comité de dirección muestran la red de riesgos o solo el semáforo individual de cada categoría?
Si la respuesta a alguna de estas preguntas genera incomodidad, es probable que su organización esté gestionando el mapa de riesgos del pasado mientras el mundo opera según la lógica de riesgos del presente.
El mandato del liderazgo ejecutivo
El colapso del puente Francis Scott Key no fue inevitable. Fue el resultado predecible de una serie de señales no integradas, evaluadas en silos y respondidas tardíamente. Esta es la definición exacta del riesgo sistémico no financiero en el siglo XXI.
Los CROs, directores de riesgo operacional, líderes de PMO y equipos de alta dirección en sectores regulados tienen hoy la responsabilidad de rediseñar no solo los instrumentos técnicos de gestión de riesgos, sino la arquitectura cognitiva con la que sus organizaciones leen, conectan e interpretan las señales de amenaza. Un cable mal instalado no tiene por qué tumbar un puerto. Pero solo si alguien, en algún lugar del sistema, estaba mirando el mapa completo.
¿Su organización ya dio este paso?
En IBEE acompañamos a equipos directivos y CROs en el diseño e implementación de marcos integrados de gestión de riesgos no financieros.
Contáctanos.
La formación y el desarrollo profesional no son un gasto, sino una inversión estratégica que impulsa el crecimiento individual y organizacional. Priorizar la capacitación es clave para mantenerse competitivo en un entorno laboral en constante evolución.
¿Te has preguntado cómo gestionar eficazmente estos riesgos?
¡No busques más!
En Iberoamericana Educación Ejecutiva, hemos creado programas pensando en tus necesidades de información y formación.
Nuestros expertos internacionales han diseñado un completo Programa al respecto para brindarte las herramientas necesarias para comprender y enfrentar estos desafíos de manera efectiva.
¡No esperes más para inscribirte!
Los programas de formación ya están disponibles y estamos aquí para ayudarte a ampliar tus conocimientos y habilidades en esta área crucial.
