• No hay productos en el carrito.

Mapa de riesgos obsoleto: el precio de gestionar en silos

A la 1:24 de la madrugada del 26 de marzo de 2024, el buque portacontenedores Dali sufrió un apagón total mientras salía del Puerto de Baltimore. Tres minutos después, su proa impactaba contra uno de los pilares del puente Francis Scott Key. La estructura se derrumbó en segundos. Seis trabajadores murieron. El canal quedó bloqueado durante 11 semanas. El impacto económico diario se estimó en el orden de los 15 millones de dólares, y la Maryland Transportation Authority reestimó en noviembre de 2025 el costo de reconstrucción entre 4.300 y 5.200 millones de dólares, más del doble del cálculo original, con reapertura prevista para fines de 2030.

 

Lo que desencadenó esta catástrofe no fue un evento extraordinario. Fue un cable eléctrico mal instalado.

 

Este caso no es solo una tragedia de infraestructura. Es una lección magistral sobre la mayor debilidad que persiste hoy en la gestión de riesgos no financieros de las organizaciones: la incapacidad de ver cómo los riesgos se encadenan, se amplifican y se transforman unos en otros hasta que ya es demasiado tarde para reaccionar.

 

El informe final del NTSB, publicado en diciembre de 2025, cerró la investigación con una conclusión que debería incomodar a cualquier directorio. La causa probable fue una banda de etiquetado mal instalada en un cable de señal: un defecto de centavos. Pero el factor contribuyente fue otro. El puente tenía casi treinta veces el nivel de riesgo aceptable que la guía de AASHTO fija para estructuras críticas sobre vías navegables, y la autoridad de transporte de Maryland nunca había hecho esa evaluación. El NTSB encontró otros 68 puentes en 19 estados en idéntica situación. El puente no cayó por el buque. Cayó porque nadie midió la exposición, y nadie la midió porque el riesgo no entraba en ninguna casilla del mapa.

 

Campus IBEE, formación ejecutiva para profesionales de riesgo

Perfecciona tus habilidades

Desarrolla tus capacidades a través de nuestros programas formativos, membresías y contenidos multimedia interactivos.

El problema estructural: riesgos gestionados en compartimentos estancos

Durante décadas, las organizaciones han construido sus marcos de gestión de riesgos no financieros con una lógica de catálogo: se identifican los riesgos, se clasifican por categoría (operacional, tecnológico, reputacional, de cumplimiento, de terceros), se les asigna un color en una matriz y se distribuyen entre responsables de primera y segunda línea. El resultado es un mapa de riesgos prolijo, bien documentado y, en la práctica, profundamente inútil frente a la realidad.

El problema es que los riesgos no respetan las fronteras de los silos organizacionales. Un fallo técnico se convierte en un riesgo operacional que escala a crisis reputacional en cuestión de horas. Una vulnerabilidad en un proveedor de servicios tecnológicos se transforma en un incidente de cumplimiento regulatorio antes de que el equipo de riesgos haya convocado su primera reunión de crisis. Un cable mal instalado tumba un puente, bloquea un puerto, paraliza cadenas de suministro globales y pone en riesgo más de 20.000 empleos directos.

Esta interdependencia no es una excepción. Es la norma en el entorno actual.

Diplomado en Gestión de Riesgos No Financieros, certificación internacional IBEE

Diplomado Gestión de Riesgos No Financieros

Certificación Internacional

La ilusión de control de los mapas de riesgos tradicionales

Los comités de riesgo, los Chief Risk Officers y los equipos de auditoría interna en sectores regulados como banca, salud, logística y tecnología conocen bien la rutina: actualización trimestral del registro de riesgos, heat maps con escalas de probabilidad e impacto, reportes a la alta dirección con el semáforo de turno. Esta metodología tiene valor, pero presenta una limitación crítica que la industria viene discutiendo con creciente urgencia desde 2023: trata los riesgos como eventos independientes cuando son, en realidad, nodos de una red.

Gartner y AuditBoard han documentado en sus estudios más recientes que la mayoría de las organizaciones gestionan los riesgos no financieros de forma aislada, sin modelar las dependencias causales entre ellos. Esto tiene consecuencias concretas: las organizaciones subestiman el impacto real de los riesgos porque no contabilizan los efectos de segunda y tercera derivada, y sobreinvierten en controles sobre riesgos de baja causalidad mientras dejan expuestos los verdaderos puntos de fractura del sistema.

En el caso de Baltimore, las investigaciones del NTSB revelaron que el buque Dali había experimentado dos apagones el día anterior al incidente, aún en puerto. Estos eventos no desencadenaron ninguna acción de mitigación eficaz porque cada uno fue gestionado como un problema técnico puntual, sin leer la señal de riesgo sistémico que representaban. El riesgo operacional estaba ahí, visible, pero nadie lo conectó con el riesgo de seguridad de la infraestructura, ni con el riesgo económico del puerto, ni con el riesgo reputacional de la industria marítima. Cada quien miraba su parte del mapa.

Campus IBEE, formación ejecutiva para profesionales de riesgo

Perfecciona tus habilidades

Desarrolla tus capacidades a través de nuestros programas formativos, membresías y contenidos multimedia interactivos.

La nueva taxonomía: de inventario de riesgos a red de causalidades

La respuesta no está en añadir más categorías al mapa de riesgos. Está en cambiar radicalmente el modelo mental con el que se construye ese mapa.

Los marcos internacionales más maduros apuntan en esta dirección. ISO 31000:2018 enfatiza explícitamente la necesidad de comprender el contexto de interdependencias antes de evaluar cualquier riesgo individual. COSO ERM, en su versión actualizada, insiste en que los riesgos no deben identificarse como eventos aislados sino como factores interconectados que influyen sobre los objetivos estratégicos de la organización. La integración de ambos marcos —ISO 31000 como filosofía de gestión continua y dinámica, y COSO ERM como arquitectura de control y gobernanza— ofrece hoy la base más sólida para construir lo que los líderes de riesgo ya denominan una taxonomía integrada: un modelo que no solo enumera riesgos, sino que mapea sus relaciones causales, sus nodos de amplificación y sus cadenas de transmisión.

En términos prácticos, esto implica reemplazar las hojas de cálculo estáticas y las matrices bidimensionales por sistemas que permitan monitorear indicadores clave de riesgo (KRIs) en tiempo real, identificar los riesgos raíz que tienen mayor capacidad de generar efectos en cascada, y simular escenarios de propagación para priorizar los recursos de mitigación donde realmente importa.

Diplomado en Gestión de Riesgos No Financieros, certificación internacional IBEE

Diplomado Gestión de Riesgos No Financieros

Certificación Internacional

El impacto en sectores regulados de Latinoamérica

Para los líderes de riesgo en banca, salud, logística y tecnología en la región iberoamericana, este desafío tiene una dimensión adicional: la velocidad de transmisión entre categorías de riesgo es más alta que en mercados con mayor madurez regulatoria e infraestructura de control. Un incidente de seguridad de la información en una entidad financiera puede convertirse en una sanción regulatoria, una crisis de reputación pública y una demanda de clientes en un plazo de 48 a 72 horas. Un fallo en la cadena de suministro de insumos médicos críticos escala en horas a un riesgo de continuidad operacional con impacto directo sobre la vida de los pacientes.

La buena noticia es que las organizaciones que han dado el salto desde el modelo de silos hacia una gestión integrada de riesgos no financieros reportan beneficios concretos y medibles: mayor capacidad de anticipación ante amenazas emergentes, reducción del tiempo de respuesta ante crisis, menor duplicación de controles entre líneas de defensa y una relación más eficiente con reguladores y auditores externos.

Campus IBEE, formación ejecutiva para profesionales de riesgo

Perfecciona tus habilidades

Desarrolla tus capacidades a través de nuestros programas formativos, membresías y contenidos multimedia interactivos.

Tres preguntas para que su organización se autoevalúe

Si usted lidera una función de riesgo, auditoría interna, cumplimiento o continuidad del negocio, le propongo tres preguntas que no deberían tardar en responderse:

¿Su registro de riesgos no financieros modela las dependencias causales entre categorías, o simplemente las enumera? ¿Su metodología de evaluación incorpora escenarios de cascada que integren riesgos operacionales, tecnológicos, reputacionales y regulatorios en un mismo ejercicio? ¿Los reportes que llegan a su comité de dirección muestran la red de riesgos o solo el semáforo individual de cada categoría?

Si la respuesta a alguna de estas preguntas genera incomodidad, es probable que su organización esté gestionando el mapa de riesgos del pasado mientras el mundo opera según la lógica de riesgos del presente.

Diplomado en Gestión de Riesgos No Financieros, certificación internacional IBEE

Diplomado Gestión de Riesgos No Financieros

Certificación Internacional

El mandato del liderazgo ejecutivo

El colapso del puente Francis Scott Key no fue inevitable. Fue el resultado predecible de una serie de señales no integradas, evaluadas en silos y respondidas tardíamente. Esta es la definición exacta del riesgo sistémico no financiero en el siglo XXI.

Los CROs, directores de riesgo operacional, líderes de PMO y equipos de alta dirección en sectores regulados tienen hoy la responsabilidad de rediseñar no solo los instrumentos técnicos de gestión de riesgos, sino la arquitectura cognitiva con la que sus organizaciones leen, conectan e interpretan las señales de amenaza. Un cable mal instalado no tiene por qué tumbar un puerto. Pero solo si alguien, en algún lugar del sistema, estaba mirando el mapa completo.

Campus IBEE, formación ejecutiva para profesionales de riesgo

Perfecciona tus habilidades

Desarrolla tus capacidades a través de nuestros programas formativos, membresías y contenidos multimedia interactivos.

¿Su organización ya dio este paso?

En IBEE acompañamos a equipos directivos y CROs en el diseño e implementación de marcos integrados de gestión de riesgos no financieros.

Contáctanos.

La formación y el desarrollo profesional no son un gasto, sino una inversión estratégica que impulsa el crecimiento individual y organizacional. Priorizar la capacitación es clave para mantenerse competitivo en un entorno laboral en constante evolución.

Preguntas frecuentes

¿Por qué el mapa de riesgos tradicional no sirve para anticipar crisis?

Porque la matriz de probabilidad por impacto evalúa cada riesgo por separado, y los riesgos no se materializan por separado. Trata como eventos independientes lo que en realidad son nodos de una red con dependencias causales. La consecuencia es doble y medible: se subestima el impacto real, porque no se contabilizan los efectos de segunda y tercera derivada, y se sobreinvierte en controles sobre riesgos de alta puntuación individual pero baja causalidad sistémica.

¿Qué dice ISO 31000 sobre la interdependencia entre riesgos?

Lo dice con todas las letras y pocos lo citan. La cláusula 5.4.1 de ISO 31000:2018 exige, al examinar el contexto interno, considerar literalmente las interdependencias e interconexiones. La cláusula 6.3.4 obliga a definir en los criterios de riesgo cómo se van a tomar en cuenta las combinaciones y secuencias de riesgos múltiples. Y la cláusula 6.4.3 incluye la complejidad y la conectividad entre los factores del análisis. La norma nunca pidió una matriz; pidió entender una red.

¿Qué principio de COSO ERM exige mirar los riesgos como cartera?

El Principio 14, Desarrolla una visión de cartera, dentro del componente Performance de COSO ERM 2017. Pide que la dirección y el directorio consideren el tipo, la severidad y la interdependencia de los riesgos, y determinen si el perfil de riesgo residual se alinea con el apetito aprobado. Es exactamente lo que un mapa de calor riesgo por riesgo no puede hacer. Un directorio que recibe una matriz de colores está recibiendo el incumplimiento del Principio 14 presentado como cumplimiento.

¿Existe una definición normativa del efecto dominó entre riesgos?

Sí. ISO 31000:2018, en la nota 3 de la definición de consecuencia (cláusula 3.6), establece que cualquier consecuencia puede escalar a través de efectos en cascada y acumulativos. Es una sola línea y es la base normativa de todo el argumento: si la norma reconoce la cascada, un mapa que no la modela no cumple la norma. No es una preferencia metodológica, es un hallazgo de auditoría esperando a que alguien lo escriba.

¿Qué caso demuestra el costo de gestionar los riesgos en silos?

El colapso del puente Francis Scott Key de Baltimore, el 26 de marzo de 2024. El informe final del NTSB, publicado en diciembre de 2025, determinó que la causa probable fue la pérdida de energía del buque Dali por una conexión floja, originada en una banda de etiquetado de cable mal instalada. Pero el factor contribuyente es el que le importa a un directorio: el puente tenía casi treinta veces el nivel de riesgo aceptable según la guía de AASHTO, y la autoridad de transporte de Maryland nunca hizo esa evaluación. Seis muertos, el canal bloqueado once semanas, y una reconstrucción que la propia MDTA reestimó en noviembre de 2025 entre 4.300 y 5.200 millones de dólares, más del doble del cálculo original.

¿Cuál es la lección de gobernanza del caso Baltimore?

Que el puente no cayó por el buque. Cayó porque nadie midió la exposición. Un riesgo originado en un tercero, el mantenimiento eléctrico de un buque de bandera extranjera, se materializó sobre un activo cuyo dueño jamás evaluó su vulnerabilidad a ese escenario. El NTSB identificó, además, otros 68 puentes en 19 estados en la misma situación: construidos antes de 1991, sobre vías navegables comerciales, sin evaluación de vulnerabilidad vigente. La pregunta para el directorio no es cuál es su riesgo más alto. Es cuál es el riesgo que nunca evaluó porque no entraba en ninguna categoría de su mapa.

¿Te has preguntado cómo gestionar eficazmente estos riesgos?


¡No busques más!
En Iberoamericana Educación Ejecutiva, hemos creado programas pensando en tus necesidades de información y formación. Nuestros expertos internacionales han diseñado un completo Programa al respecto para brindarte las herramientas necesarias para comprender y enfrentar estos desafíos de manera efectiva.
¡No esperes más para inscribirte!
Los programas de formación ya están disponibles y estamos aquí para ayudarte a ampliar tus conocimientos y habilidades en esta área crucial.
13 julio, 2026
IBEE © RiskOff. Todos los derechos reservados.

Setup Menus in Admin Panel