Las matrices de riesgo son un punto de partida válido. El problema es cuando se convierten en el destino.
La incertidumbre está implícita en cada decisión que toma una empresa: ventas, expansión, inversiones, contrataciones. Sin embargo, la mayoría de las organizaciones no financieras todavía miden sus riesgos con enfoques cualitativos — y eso tiene un costo concreto: decisiones subóptimas, presupuestos mal asignados y conversaciones directivas que giran en torno a adjetivos en lugar de números.
El problema con las matrices de riesgo
Las matrices de riesgo — esa cuadrícula con celdas verdes, amarillas y rojas — no son una herramienta equivocada. Son una herramienta inicial. Su limitación real aparece cuando se las usa como sistema de gestión. El impacto «alto» en la cabeza del gerente de Operaciones no es el mismo que en la del CFO. No permiten priorizar entre riesgos de naturaleza diferente porque no tienen una métrica común. Y una probabilidad «4 sobre 5» no es dos veces más probable que «2 sobre 5» — son escalas ordinales disfrazadas de precisión.
El problema de fondo es que las matrices no son útiles para tomar decisiones de negocios.
El salto: pensar en rangos, no en puntos
Cuando una empresa decide cuantificar sus riesgos, el primer error casi siempre está en los inputs. La tentación es asignar un único número: «el impacto es aproximadamente US$500K». Ese punto único transmite una falsa sensación de certeza.
La alternativa es pensar en rangos: ¿cuál es el mínimo razonable? ¿El máximo plausible? ¿El valor más probable? Con esos tres datos ya se puede construir una distribución de probabilidad y pasar de un análisis determinístico a uno probabilístico. El resultado ya no es un valor fijo sino un rango de posibles resultados, cada uno con su probabilidad asociada.
Tres herramientas concretas
Existen herramientas accesibles para hacer este salto sin necesidad de conocimientos avanzados en estadística. La Simulación de Monte Carlo simula miles de escenarios combinando variables aleatorias y es especialmente útil para proyectos, presupuestos y supply chain. El Value at Risk (VaR) cuantifica la pérdida esperada con un nivel de confianza dado — responde a la pregunta: ¿cuánto podemos perder en el 5% de casos más severos? La metodología FAIR descompone el riesgo en frecuencia, vulnerabilidad y magnitud de pérdida, y se ha convertido en el estándar internacional para el riesgo cyber y operacional.
Las tres comparten una lógica común: transforman incertidumbre en distribuciones de probabilidad. Ese salto — del adjetivo a la curva — es lo que cambia la calidad de las decisiones.
Lo que cambia en la sala de directorio
Sin cuantificación, el directorio debate si el riesgo es «alto» o «muy alto». Con un modelo bien construido, la pregunta cambia: «¿Estamos dispuestos a aceptar un 5% de probabilidad de perder más de US$2M en este proyecto?»
Un CEO y un CFO no toman decisiones de inversión basándose en colores. Necesitan Pérdida Esperada anualizada, rango de pérdida con nivel de confianza, y comparación entre riesgos en una unidad común: pesos o dólares. Si la Pérdida Esperada de un riesgo operacional es US$300K anuales y la solución de mitigación cuesta US$80K con una reducción del 70%, el análisis es directo.
Una nota de honestidad
Ningún modelo elimina la incertidumbre. Un modelo mal calibrado genera precisión falsa, que es más peligrosa que una matriz simple pero honesta. Los modelos son fotos de un momento y necesitan actualización. Y no reemplazan el juicio de los líderes: lo informan y estructuran.
Lo que sí cambia, y de manera real, es la calidad de la discusión en torno a la gestión de riesgos.
Este post es un resumen de la última edición de Positive Risk, el newsletter quincenal sobre riesgo geopolítico, gobernanza de IA y finanzas cuantitativas. Si querés recibir la versión completa con herramientas, bibliografía y ejemplos prácticos, suscribite acá.
