Evaluar la probabilidad y el impacto de cada riesgo significa asignarle dos números concretos para saber cuáles merecen atención inmediata y cuáles pueden esperar.
Cuando la lista de riesgos se vuelve paralizante
Imagina que tu equipo identificó 45 riesgos en la sesión del Método de Identificación por Categorías. Todos parecen urgentes. No sabes por dónde empezar. Sin una forma de ordenarlos, la gestión de riesgos se convierte en pánico organizado.
Eso le pasó a un gerente de operaciones en una empresa distribuidora de Monterrey. Tenía una lista enorme, pero sin criterios claros, atendía el riesgo que más le gritaba ese día. Los riesgos reales quedaban sin vigilancia.
La solución no es reducir la lista. Es aprender a leerla con una escala objetiva.
El Sistema de Doble Dimensión (SDD)
Evaluar riesgos correctamente requiere medir dos cosas por separado: qué tan probable es que ocurra, y qué tan grave sería si ocurriera. A este enfoque lo llamamos el Sistema de Doble Dimensión (SDD).
El SDD funciona así: cada riesgo recibe una calificación de probabilidad (del 1 al 5) y una calificación de impacto (del 1 al 5). Luego multiplicas ambos números para obtener un puntaje de criticidad. El riesgo con mayor puntaje es el que atiendes primero.
Esta lógica es simple pero poderosa. Un riesgo poco probable pero devastador tiene un puntaje diferente a uno frecuente pero menor. Eso te permite comparar riesgos que parecen incomparables.
La escala de probabilidad: del 1 al 5
Usa esta escala para calificar qué tan posible es que el riesgo ocurra en los próximos 12 meses:
| Nivel | Descripción | Frecuencia estimada |
|---|---|---|
| 1 | Muy improbable | Menos de 10% de posibilidad |
| 2 | Improbable | Entre 10% y 30% |
| 3 | Posible | Entre 30% y 50% |
| 4 | Probable | Entre 50% y 70% |
| 5 | Casi seguro | Más del 70% |
No necesitas datos estadísticos perfectos para usar esta escala. Necesitas criterio informado. Si en los últimos tres años el proveedor entregó tarde dos veces de cada cinco pedidos, la probabilidad es 4. Si el tipo de cambio superó los $20 por dólar solo una vez en los últimos diez años, la probabilidad es 2.
La escala de impacto: del 1 al 5
El impacto mide el daño que causaría el riesgo si ocurriera. Calibra esta escala según el tamaño de tu empresa:
| Nivel | Descripción | Ejemplo de daño para una empresa mediana |
|---|---|---|
| 1 | Insignificante | Pérdida menor a $50,000 o inconveniente sin consecuencias |
| 2 | Menor | Pérdida entre $50,000 y $300,000; se resuelve en días |
| 3 | Moderado | Pérdida entre $300,000 y $1,500,000; afecta un área entera |
| 4 | Grave | Pérdida entre $1,500,000 y $5,000,000; paraliza operaciones clave |
| 5 | Catastrófico | Pérdida mayor a $5,000,000; amenaza la continuidad del negocio |
El impacto no siempre es financiero. También puede ser reputacional, legal o humano. Un accidente en planta puede tener impacto 5 aunque el costo económico directo sea moderado, porque destruye la reputación de la empresa y activa sanciones de la STPS.
Cómo calcular el puntaje de criticidad
El puntaje de criticidad es simple: Probabilidad × Impacto = Criticidad. El resultado va del 1 al 25. Clasifica los riesgos así:
- 1 a 5: Riesgo bajo. Monitorea sin acción urgente.
- 6 a 12: Riesgo medio. Planea una respuesta este trimestre.
- 13 a 19: Riesgo alto. Actúa este mes.
- 20 a 25: Riesgo crítico. Actúa esta semana.
Esta clasificación es tu tablero de prioridades. No es perfecta, pero es objetiva y repetible.
Tres ejemplos concretos aplicados
Ejemplo 1: Empresa de logística en Guadalajara
Una empresa que distribuye productos de consumo identifica este riesgo: "El proveedor único de cajas de cartón podría subir precios un 40% sin previo aviso."
- Probabilidad: 4 (el proveedor ya lo hizo el año pasado con otro cliente)
- Impacto: 3 (afectaría el margen bruto en un 8%, manejable pero significativo)
- Criticidad: 4 × 3 = 12 → Riesgo medio
La empresa decide buscar un segundo proveedor en los próximos 90 días. No es urgencia de esta semana, pero no puede esperar un año.
Ejemplo 2: Tienda en línea estilo Mercado Libre seller
Un vendedor con tienda propia identifica: "Caída del servidor de la plataforma de pagos durante el Buen Fin."
- Probabilidad: 2 (ha ocurrido una vez en cuatro años)
- Impacto: 5 (perder ventas del Buen Fin podría costar $800,000 en un fin de semana)
- Criticidad: 2 × 5 = 10 → Riesgo medio, cerca de alto
Aunque la probabilidad es baja, el impacto es devastador. La empresa decide contratar un método de pago alternativo como respaldo. Es una acción barata que protege contra un daño enorme.
Ejemplo 3: Planta de producción de alimentos (sector similar a Bimbo)
Una planta identifica: "Contaminación cruzada por falla en protocolo de limpieza."
- Probabilidad: 3 (ocurrió dos veces en los últimos cinco años)
- Impacto: 5 (retiro de producto, sanciones de COFEPRIS, daño reputacional severo)
- Criticidad: 3 × 5 = 15 → Riesgo alto
Este riesgo sube al tablero de acción inmediata. El gerente de calidad recibe mandato de auditar el protocolo esta semana y presentar mejoras en diez días.
Cómo construir tu primera Matriz de Riesgos
La Matriz de Riesgos es una tabla visual que coloca todos tus riesgos evaluados en un solo lugar. Sigue estos pasos:
Paso 1: Toma tu lista de riesgos identificados en la sesión anterior.
Paso 2: Por cada riesgo, asigna calificación de probabilidad e impacto con tu equipo. Nunca lo hagas solo; el responsable del área conoce la frecuencia real.
Paso 3: Calcula el puntaje de criticidad multiplicando ambas calificaciones.
Paso 4: Ordena los riesgos de mayor a menor criticidad. Los primeros diez son tu "Top 10 de riesgos prioritarios".
Paso 5: Asigna un color a cada rango: rojo para críticos (20–25), naranja para altos (13–19), amarillo para medios (6–12) y verde para bajos (1–5).
Este mapa de colores se llama Mapa de Calor de Riesgos. En una sola página, cualquier director puede ver dónde está concentrada la amenaza.
Errores comunes al calificar riesgos
El error más frecuente es el sesgo de optimismo. Los equipos tienden a calificar la probabilidad más baja de lo que realmente es porque no quieren dar malas noticias. Pregunta siempre: "¿Tienes evidencia de que es improbable, o solo esperas que no pase?"
Otro error común es evaluar el impacto solo en términos económicos directos. Una multa del SAT por $200,000 puede tener impacto 2 en lo económico, pero impacto 4 en reputación con clientes corporativos que exigen cumplimiento fiscal. Considera siempre las dimensiones operativa, legal, reputacional y humana.
El tercer error es hacer la evaluación una sola vez. Los riesgos cambian. El tipo de cambio que era estable en enero puede volverse volátil en agosto. Revisa tu Matriz de Riesgos al menos una vez por trimestre.
La regla del 20/80 aplicada a riesgos
En la mayoría de empresas medianas, el 20% de los riesgos identificados concentra el 80% del daño potencial. Tu trabajo no es gestionar los 45 riesgos de tu lista al mismo tiempo. Es identificar los 9 o 10 con mayor criticidad y ponerles un plan concreto esta semana.
Los riesgos con puntaje bajo no desaparecen. Se quedan en lista de monitoreo. Los revisas cada trimestre. Pero no consumen tu energía hoy.
Una empresa de retail similar a Liverpool con 12 tiendas podría tener 50 riesgos identificados. Solo 8 o 9 estarán en zona roja o naranja. Esos 9 son los que determinarán si la empresa sobrevive una crisis o sale de ella con daño mínimo.
La diferencia entre una empresa que gestiona riesgos y una que solo los identifica está en una sola acción: asignar un número y actuar en consecuencia.