Cómo auditar riesgos que no respetan fronteras organizacionales

Por qué los riesgos no actúan solos y qué deben ver hoy los Comités de Riesgo y Auditoría

¿Está su organización preparada para gestionar un riesgo que no figura como crítico en la matriz, pero que puede paralizar procesos clave en cuestión de días?

Durante años, la gestión de riesgos se ha apoyado en matrices que clasifican eventos de forma individual. Se identifican, se califican por probabilidad e impacto, se asignan controles y se da el tema por atendido.
El problema es que la realidad organizacional no funciona en compartimentos aislados.

Hoy, los riesgos se comportan como sistemas interconectados. Una falla aparentemente controlada puede recorrer procesos, áreas y decisiones hasta convertirse en una crisis financiera, reputacional o regulatoria. Y cuando eso ocurre, la matriz tradicional rara vez lo advirtió.

Este artículo analiza por qué los riesgos sistémicos pasan desapercibidos, cómo se propagan dentro de la organización y qué debe hacer la auditoría moderna para identificarlos y comunicarlos con claridad a la Alta Dirección.

Riesgos interconectados: cuando el problema no es el evento, sino la red

El marco COSO ERM (2017) establece que el riesgo debe evaluarse como un portafolio, considerando su relación con la estrategia, el desempeño y la gobernanza. Esto implica dejar de ver los riesgos como eventos aislados y comenzar a analizarlos como fenómenos interdependientes.

Un riesgo interconectado se caracteriza por:

  • Activar otros riesgos de forma directa o indirecta.
  • Multiplicar su impacto cuando ocurre en simultáneo con otros eventos.
  • Propagarse a través de procesos, tecnología, personas y terceros.

Un riesgo aislado genera atención.
Un riesgo interconectado puede comprometer la continuidad del negocio.

El efecto dominó: por qué estos riesgos son especialmente críticos

Los riesgos sistémicos suelen pasar desapercibidos por tres razones fundamentales:

Velocidad de propagación

Una falla inicial puede escalar rápidamente y afectar áreas que no estaban consideradas en el análisis original. Los riesgos no respetan fronteras departamentales.

Impactos secundarios y terciarios

El mayor daño rara vez proviene del evento inicial. Las consecuencias posteriores sanciones, pérdida de confianza, restricciones financieras suelen ser las más costosas.

Invisibilidad en las matrices tradicionales

Las matrices enfocadas únicamente en probabilidad e impacto individual no capturan las relaciones entre riesgos. El resultado es una subestimación del riesgo residual agregado frente al apetito de riesgo aprobado.

El riesgo sistémico en la práctica: patrones que se repiten

En distintos sectores, los escenarios tienden a repetirse:

  • Una falla tecnológica deriva en reclamos masivos, deterioro reputacional y, finalmente, intervención del regulador.
    Lección para auditoría: el riesgo no era operativo, sino su capacidad de activar riesgos legales y estratégicos.
  • Un fraude interno no detectado a tiempo genera pérdidas que afectan liquidez, endurecen condiciones bancarias y tensionan la operación.
    Lección para auditoría: el riesgo financiero estaba encadenado a la gestión de confianza y crédito.
  • Un cambio normativo mal implementado provoca errores operativos que culminan en multas acumuladas y observaciones regulatorias.
    Lección para auditoría: no se evaluó la interdependencia entre cumplimiento, TI y operaciones.

En todos los casos, el riesgo original estaba identificado, pero su capacidad de propagación no lo estaba.

Enfoque sistémico para auditar riesgos interconectados

Auditar este tipo de riesgos exige un cambio de perspectiva. Un enfoque estructurado incluye cinco etapas clave:

Ver la organización como un sistema

Identificar nodos críticos: plataformas centrales, procesos transversales, proveedores únicos, roles con alto nivel de acceso o decisión.

La pregunta clave no es “¿qué tan probable es que falle?”, sino:
“¿A cuántos procesos afecta si falla?”

Mapear cadenas de riesgo

Visualizar cómo un riesgo inicial puede activar riesgos operativos, financieros, legales o reputacionales. Este mapeo transforma una lista estática en una red dinámica de riesgos.

Evaluar impactos más allá del evento inicial

La auditoría debe indagar impactos secundarios y terciarios, incluso aquellos que no están documentados en políticas o matrices formales.

Revisar controles con visión sistémica

No basta con validar controles aislados. Es clave evaluar:

  • Controles preventivos.
  • Mecanismos de detección temprana.
  • Capacidad de contención y respuesta.
  • Dependencia de personas o terceros críticos.

Un control aislado protege un proceso.
Un control sistémico protege a la organización.Integrar el análisis con COSO ERM

El análisis debe vincularse con estrategia, KPIs, KRIs, gobierno corporativo y cultura de riesgo. Esto eleva la auditoría a un nivel estratégico y defendible ante Comités y reguladores.

Señales de alerta de un riesgo sistémico no gestionado

La presencia reiterada de estas señales indica un nivel insuficiente de madurez en la gestión integral del riesgo:

  • Un proceso crítico aparece en múltiples incidentes.
  • Un mismo evento afecta varias áreas simultáneamente.
  • Controles dependen de una sola persona o proveedor.
  • La matriz lista riesgos sin explicar relaciones.
  • Existen impactos relevantes no documentados.
  • Los indicadores no reflejan los riesgos desencadenantes.

Cuando estas señales se acumulan, el riesgo no es individual: es estructural.

Cómo comunicar estos riesgos al Comité de Riesgos

Los Comités no necesitan más tablas; necesitan claridad estratégica.

Una comunicación efectiva debe:

  • Identificar el riesgo detonante.
  • Mostrar la cadena de propagación.
  • Evidenciar el impacto estratégico y el riesgo residual agregado.
  • Proponer soluciones estructurales, no parches operativos.

Una frase bien planteada puede cambiar la percepción del Comité:

“Este riesgo no es crítico por su probabilidad individual, sino por la cantidad de riesgos que activa.”

Reflexión final

La auditoría moderna no se limita a validar controles; anticipa escenarios.
Quien entiende el riesgo como red y no como eventoaporta valor real, protege la sostenibilidad del negocio y fortalece la toma de decisiones.

La auditoría que no analiza interdependencias valida controles.
La que sí lo hace, protege la continuidad del negocio.

Jorge Gutiérrez Guillén, CPA
Socio Fundador | JGutierrez Auditores Consultores S.A.
Costa Rica | 🌐consultoresjg.com
+506 2552-5433 |+506 8811-5090
[email protected]

GestiónDeRiesgos #RiesgoSistémico #AuditoríaEstratégica #AuditoríaBasadaEnRiesgos #COSOERM

Share This Post
Jorge Gutiérrez Guillén

With over 15 years of experience in auditing and financial consulting, I serve as the founder and managing partner of JGutierrez Auditores Consultores S.A.—a boutique firm dedicated to delivering exceptional, value-driven solutions that consistently exceed industry standards. Our mission is to promote transparency, efficiency, and sustainability by combining international best practices with in-depth knowledge of Costa Rican and regional regulations. We operate under the guiding principles of integrity, innovation, and excellence. Our Expertise At JGutierrez Auditores Consultores, we provide comprehensive audit and consulting services tailored to meet the evolving needs of today’s businesses. Our core areas of specialization include: Financial Audits: Independent evaluations aligned with international standards, ensuring reliability and accuracy in financial reporting. Regulatory Compliance: Expert navigation of complex tax and financial frameworks to ensure full adherence and strategic advantage. Internal Controls: Strengthening governance structures to mitigate risk and boost operational effectiveness. Fraud Prevention: Implementing forward-looking strategies to detect, prevent, and respond to financial irregularities. Process Optimization: Streamlining workflows and improving resource allocation for enhanced productivity and long-term growth. Environmental & Financial Sustainability: Supporting compliance with emerging ESG regulations to reinforce resilience. Information Security: Protecting critical systems and data through robust cybersecurity and risk management measures. Value-Centered Consulting Beyond our audit services, we offer strategic consulting designed to help organizations innovate and compete in an increasingly dynamic environment: Information Systems & Operational Management: Integrating technology and operations to boost performance and scalability. ISO Standards Compliance: Providing expert guidance to achieve and maintain globally recognized certifications. Transfer Pricing Studies: Ensuring compliance with international tax obligations while enhancing cross-border efficiency. Industrial Cost Analysis: Delivering deep insights into cost structures to support sound decision-making and margin improvement. Why Choose JGutierrez Our strength lies in a collaborative, multidisciplinary team that brings together seasoned professionals and next-generation talent, equipped with expertise in emerging technologies. This synergy enables us to deliver innovative, high-impact solutions that support growth, reinforce resilience, and unlock strategic opportunities. As a trusted advisor, I am committed to building lasting partnerships and helping organizations navigate the challenges of today while preparing for the opportunities of tomorrow. Jorge Gutiérrez Guillén Certified Public Accountant | Business Consultant

Related Articles

Traduce »