Escuela de Gestión de Riesgos

Calibraciones de evaluaciones de controles

Escrito por Escuela de Gestión de Riesgos | 22 de septiembre de 2025

En esta sesión, Natalia Martínez abordará las calibraciones de las evaluaciones de controles y las dimensiones que los componen. Asimismo, se explorará la clasificación de los controles, junto con buenas prácticas que fortalecen su aplicación en las organizaciones. Finalmente, se destacará la importancia del control y la necesidad de su constante reevaluación para garantizar una gestión eficaz y sostenible.

Dimensiones del control

  • Diseño: es la forma en que un control está definido, estructurado y documentado para mitigar el riesgo.

    Aspectos clave del diseño del control

    • Objetivo claro: Qué riesgo busca mitigar y qué resultado se espera.
    • Cobertura adecuada: El control debe atacar la causa raíz del riesgo, no solo los síntomas.
    • Método definido: Cómo se ejecuta el control: procedimiento, herramienta, checklist, sistema, etc.
    • Frecuencia: Cuándo se debe aplicar: diaria, semanal, mensual, en tiempo real
    • Responsables: Quién lo ejecuta, quién lo supervisa y cómo se documenta la evidencia.

  • Ejecución: es la forma en que un control se lleva a cabo en la práctica: si realmente se aplica como fue diseñado, con la frecuencia, calidad y evidencia necesarias.

    Aspectos clave de la ejecución del control

    • Consistencia: Que el control se aplique siempre, sin saltarse pasos ni depender de la memoria del responsable.
    • Frecuencia rea:Que se ejecute con la periodicidad definida en el diseño (diario, mensual, en tiempo real).
    • Calidad en la aplicación: Que no sea solo un trámite, sino que cumpla con la revisión, verificación o autorización prevista.
    • Responsables: Que la persona o rol designado realmente lo ejecute y quede trazabilidad de su intervención.
    • Evidencia: Documentos, registros, logs del sistema o firmas digitales que demuestran que el control sí se aplicó.

Ejemplo práctico 

  • Diseño = cómo debería funcionar el control.
  • Ejecución = cómo realmente funciona en la práctica.

Clasificación de los controles

Según su objetivo:

  • Preventivos: Antes de que ocurra el evento de riesgo. 
  • Ejemplo: Doble aprobación antes de ejecutar pagos.
  • Detectivos: identifican si el riesgo ya ocurrió o está ocurriendo.
  • Ejemplo: Revisión de conciliaciones bancarias diarias.
  • Correctivos: minimizan el impacto una vez que el riesgo se materializó.
  • Ejemplo: Plan de recuperación de datos ante el ciberataque.

Según su naturaleza:

  • Manuales: dependen de personas.
  • Ejemplo: Firma física en una autorización de gasto.
  • Automatizados: se ejecutan mediante sistemas.
  • Ejemplo: Bloqueo automático de transacciones sospechosas en un sistema AML.
  • Combinados: combinación de ambos.
  • Ejemplo: Reporte generado automáticamente pero revisado por un analista.

Buenas prácticas del control

Alineación al riesgo

  • Cada control debe estar diseñado para mitigar un riesgo específico y documentar claramente su propósito.

Diseño y responsabilidad claros

  • Definir objetivo, responsable, método, frecuencia y evidencia.
  • Garantizar segregación de funciones para evitar conflictos de interés.

Ejecución consistente y con evidencia

  • El control debe aplicarse siempre según lo diseñado y dejar trazabilidad verificable (logs, reportes, firmas, registros).

Revisión y mejora continua

  • Probar periódicamente su efectividad y recalibrar según cambios en riesgos, procesos o regulaciones.

Importancia del control

Mitigación de riesgos y cumplimiento normativo → previenen la materialización de eventos y aseguran adherencia a leyes y regulaciones.

Protección de la reputación y confianza → evita incidentes que afecten la imagen y genera credibilidad ante clientes, reguladores y auditores.

Eficiencia operativa → reducen errores, reprocesos y costos innecesarios, haciendo los procesos más ágiles y seguros.

Mejora continua → permite evaluar, monitorear y recalibrar la gestión de riesgos con base en evidencia.

 

Reevaluación del control

Cambios en el entorno del riesgo

Un control diseñado hace 2 años puede no ser suficiente hoy si el riesgo aumentó por nuevas tecnologías, fraudes más sofisticados o cambios regulatorios.
Ejemplo: antes bastaba una contraseña; hoy se exige doble autenticación.

  • Variaciones en procesos y operaciones
    Cuando cambian los procesos internos (digitalización, automatización, tercerización), los controles deben adaptarse para seguir siendo efectivos
  • Evidencia de fallas o incidentes
    Si un control no evitó o no detectó un evento de riesgo, significa que su diseño o ejecución necesita ajuste.
  • Niveles de madurez y objetividad
    Recalibrar ayuda a que la evaluación de los controles no dependa sólo de percepciones subjetivas, sino de criterios claros, consistentes y comparables.

Ventajas

1. Optimización de recursos
  • A veces un control es excesivo (sobrerregulación) y genera costos innecesarios. Recalibrar permite ajustar el nivel de control al nivel real de riesgo.
2. Exigencias regulatorias y de auditoría
  • Marcos como COSO ERM y Basilea recomiendan revisar periódicamente la efectividad de los controles para garantizar que cumplen su propósito.
3. Mejora continua
  • La recalibración es parte de un ciclo vivo de gestión: identificar → diseñar → ejecutar → evaluar → recalibrar → mejorar.

Complementa tus conocimientos con este podcast 👇

Reporte a Comités de Riesgos y Alta Dirección: incluir indicadores conductuales junto con riesgos financieros y operacionales.
Ver post completo