¿Qué es un registro de riesgos?
El registro de riesgos es la columna vertebral de la gestión de riesgos. Es donde los riesgos se identifican, desarrollan, tratan y revisan. Esta es una guía completa sobre qué debe incluir, cómo construirlo y cómo mantenerlo activo a lo largo del tiempo.
By Kim Borg, Founder, RiskNote · Last updated
¿Qué es un registro de riesgos?
Un registro de riesgos es una lista estructurada de todos los riesgos identificados en una organización o proyecto, junto con su evaluación, responsable, acciones y estado. Es operativo: debe leerse, actualizarse y revisarse de forma periódica.
El registro no es un informe de riesgos. El informe es una instantánea (PDF para el consejo) extraída del registro. El registro es el dato vivo.
En ISO 27001, el registro de riesgos es una parte obligatoria del SGSI (cláusulas 6.1.2 y 8.2). En ISO 31000 es el resultado estándar del proceso. En el artículo 21 de NIS2 es el prerequisito para la ciberseguridad basada en riesgos.
¿Qué campos deben incluirse?
Un registro de riesgos completo incluye habitualmente los siguientes campos por riesgo:
ID
Número o código único (R-001, R-002...). Permite hacer referencia al riesgo sin escribir la descripción completa.
Descripción
¿Cuál es el riesgo? Redacte 1–2 oraciones. Evite formulaciones vagas («riesgo de problemas informáticos»); sea específico («interrupción del sistema de facturación durante más de 4 horas»).
Categoría/ámbito
Operacional, financiero, estratégico, cumplimiento normativo, ciberseguridad, proyecto. Facilita el filtrado y la elaboración de informes.
Probabilidad (1–5)
Qué tan probable es que el riesgo se materialice. Utilice una escala definida.
Consecuencia (1–5)
Qué tan grave sería si el riesgo se materializara. Puede evaluarse de forma separada para los aspectos financiero, operacional, reputacional y de cumplimiento.
Puntuación / severidad
P × C = 1–25. Se traduce en bajo/medio/alto/crítico.
Responsable
Persona nominada como responsable del riesgo. Sin un responsable, nada se lleva a cabo.
Acción
¿Qué se está haciendo con el riesgo? Aceptar, reducir, transferir o evitar. Plan de acción concreto en caso de reducción.
Estado
Abierto, en tratamiento, tratado, cerrado. Cambia con el tiempo.
Fechas
¿Cuándo se identificó el riesgo? ¿Cuándo se revisó por última vez? ¿Cuándo es la próxima revisión?
Riesgo residual
Probabilidad y consecuencia tras el tratamiento. Muestra si la acción adoptada es suficiente.
Riesgo bruto, neto y residual
Un registro de riesgos maduro distingue tres medidas de riesgo por fila. Estos son los términos que los auditores de ISO 27001 y los consejos de administración esperan ver:
Riesgo bruto (riesgo inherente)
El riesgo sin ningún control ni tratamiento. ¿Qué tan grave podría ser en el peor de los casos? Es esencial para justificar las inversiones en seguridad.
Riesgo neto / riesgo residual
El riesgo después de considerar los controles existentes. Es el valor que se compara con su tolerancia al riesgo. También se denomina riesgo residual.
Riesgo objetivo
El nivel de riesgo que se pretende alcanzar tras los tratamientos planificados. La brecha entre el riesgo neto y el riesgo objetivo indica si las acciones planificadas son suficientes.
¿Por qué importa? Un riesgo con riesgo bruto alto pero riesgo neto bajo (gracias a controles sólidos) requiere mantenimiento de controles, no nuevos tratamientos. Un elemento con riesgo bruto bajo raramente necesita acciones específicas. Sin esta distinción, todo se convierte en un mismo montón.
¿Cuántos riesgos debe tener el registro?
Para una pyme (15–50 personas): 10–30 riesgos es lo habitual. Con menos, probablemente se omiten aspectos importantes. Con más, el registro se vuelve difícil de gestionar.
Para una organización mediana (100–500 personas): 30–80 riesgos en distintos ámbitos.
Para organizaciones grandes: más de 100 riesgos, frecuentemente divididos por área de negocio o ámbito.
Para un proyecto: 10–20 riesgos, actualizados por sprint o reunión de seguimiento.
Errores frecuentes en los registros de riesgos
El registro nunca se actualiza
Se crea para la certificación ISO y luego queda estático. El valor se pierde en menos de 6 meses.
Ningún riesgo tiene responsable
Sin un responsable, el riesgo es puramente teórico. Se necesita una persona nominada con mandato real.
Riesgos sin acción asociada
Documentar un riesgo sin un plan es documentar un fracaso. Cada riesgo debe tener una respuesta elegida (aceptar/reducir/transferir/evitar).
Formulaciones demasiado abstractas
«Riesgo de incidentes informáticos» no es un riesgo. «Ataque de ransomware que deje el sistema de facturación no disponible durante más de 4 horas» sí lo es.
Nadie en la dirección lo lee
Si nadie en la dirección usa activamente el registro, el proceso no está anclado. Resuelva eso primero, antes que el formato.
Excel frente a una herramienta dedicada
Excel funciona para registros pequeños (menos de ~15 riesgos), pero rápidamente se vuelve problemático: deriva de versiones, fórmulas rotas, ausencia de pista de auditoría, difícil de compartir con control, sin acceso basado en roles.
Una herramienta dedicada como RiskNote ofrece historial de versiones por riesgo, compartición mediante enlace con roles, sugerencias de inteligencia artificial para la identificación y exportación a PDF directamente desde los datos, en lugar de ensamblar informes manualmente.
Consulte nuestra guía sobre alternativas a Excel para registros de riesgos.
Preguntas frecuentes sobre los registros de riesgos
¿Son lo mismo el registro de riesgos y la evaluación de riesgos?
No. La evaluación de riesgos es el proceso (identificar, analizar, evaluar). El registro de riesgos es el resultado: la lista de todos los riesgos con su evaluación. El registro se mantiene; la evaluación es una actividad recurrente.
¿Con qué frecuencia debe revisarse el registro?
Riesgos operacionales: trimestralmente. Estratégicos: anualmente. Riesgos de proyecto: por sprint o reunión de seguimiento. Ante eventos importantes (cambio normativo, contrato relevante, migración de sistema): siempre.
¿Es obligatorio documentar todos los riesgos en el registro?
Todos los riesgos materiales, sí. Los elementos rutinarios del día a día (que se resuelven directamente) no necesitan figurar en él. El criterio: si el riesgo puede afectar materialmente a sus objetivos, documéntelo.
¿Quién debe tener acceso al registro?
Internamente: el equipo directivo, los responsables de departamento pertinentes y los propietarios de riesgos. Externamente: auditores, organismos reguladores en revisión, aseguradoras en la renovación. No es público.
¿Cómo exporto el registro para una presentación al consejo?
En RiskNote: con un solo clic obtiene un PDF con la matriz, el registro y la divulgación de inteligencia artificial. En Excel: ensamble manualmente la tabla y capture una imagen de la matriz.
More guides
Cree su registro de riesgos en RiskNote
Historial de versiones, sugerencias de inteligencia artificial, matriz 5×5 y exportación a PDF incluidos. Inicie una prueba gratuita de 7 días.