Debe documentarse formalmente en registros de riesgo o en matrices de riesgo/control.
Qué es riesgo residual
El nivel de riesgo que permanece en una organización después de implementar controles y medidas de mitigación. Es el riesgo que la empresa acepta consciente o inconscientemente como parte de sus operaciones.
Por qué importa
Entender y gestionar el riesgo residual es crítico porque: Gestión realista: Asumir que todos los riesgos pueden eliminarse es irreal. Identificar riesgos residuales obliga a priorizar recursos donde más importan. Cumplimiento regulatorio: ISO 27001, NIS2, DORA y ENS requieren documentar riesgos residuales aceptados. Sin esta documentación, no hay conformidad. Responsabilidad legal: Si ocurre un incidente y la organización no había identificado ni aceptado el riesgo residual, la responsabilidad personal de ejecutivos es mayor. Decisiones de inversión: Conocer el riesgo residual ayuda a priorizar dónde invertir en nuevos controles para máximo impacto. Confianza de stakeholders: Demostrrar que se ha evaluado el riesgo residual y se ha tomado una decisión consciente aumenta la confianza de Consejos, clientes e inversores.
Puntos clave
La aceptación del riesgo residual debe ser deliberada y autorizada por la dirección ejecutiva o el CISO.
No todos los riesgos residuales son aceptables; los de criticidad alta requieren controles adicionales o mitigación alternativa.
El riesgo residual cambia con el tiempo: nuevas amenazas aumentan el riesgo, nuevos controles lo reducen.
Un riesgo residual bajo no significa ausencia de riesgo; sigue requiriendo monitoreo y revisión continua.
La diferencia entre riesgo residual aceptado y negligencia es si la organización ha documentado y autorizado explícitamente esa aceptación.
Ejemplo de riesgo residual
Un banco identifica que un sistema legacy contiene vulnerabilidades conocidas. El riesgo inherente de explotación es crítico. Se implementan controles: segregación de red, monitoreo intensivo y restricción de acceso. El riesgo se reduce de crítico a medio-alto. Ese nivel medio-alto es el riesgo residual que el banco acepta formalmente porque reemplazar el sistema legado costaría 50 millones y el control actual es razonablemente efectivo. Otro ejemplo: una empresa identifica que empleados tienen acceso a datos sensibles. El riesgo inherente de exfiltración es alto. Se implementan controles DLP, auditoría de accesos y formación. El riesgo residual baja a bajo-medio, que la empresa acepta porque eliminar completamente todo acceso no es operacionalmente viable.
Errores habituales
- Asumir que porque existe un control, el riesgo está "resuelto" es negligencia regulatoria.
- Si no hay registro escrito de quién aceptó el riesgo y cuándo, no hay protección legal.
- Un riesgo residual crítico o muy alto es inaceptable en la mayoría de contextos; requiere controles adicionales.
- El riesgo residual es después de controles; el riesgo inherente es el riesgo original. No son lo mismo.
- Incluso un riesgo residual bajo puede materializarse; requiere monitoreo continuo.
Términos relacionados
Preguntas frecuentes
¿Cuál es la diferencia entre riesgo inherente y riesgo residual?
Riesgo inherente es el riesgo sin controles. Riesgo residual es el riesgo después de aplicar controles. La diferencia entre ambos es el impacto de los controles implementados.
¿Quién debe aprobar la aceptación de riesgo residual?
La aceptación debe ser autorizada por la dirección ejecutiva, el CISO o equivalente, dependiendo de la criticidad. En organizaciones grandes, el Consejo puede necesitar conocer riesgos residuales muy altos.
¿Un riesgo residual bajo significa que no hay riesgo?
No. Riesgo residual bajo significa que el riesgo es mínimo pero no cero. Sigue requiriendo monitoreo continuo porque circunstancias nuevas pueden cambiar ese balance.
¿Cómo se documenta formalmente el riesgo residual?
Mediante matrices de riesgo/control, registros de riesgos aceptados, actas de sesiones donde se autoriza la aceptación, o en políticas de riesgo. La documentación debe incluir: qué riesgo, por qué se acepta, quién autoriza, y cuándo se reevaluará.
¿Qué pasa si no se documenta un riesgo residual aceptado?
Aumenta la responsabilidad personal de ejecutivos ante reguladores o en caso de litigio. Reguladores como SEPBLAC o CNMV pueden considerar negligencia la falta de documentación de riesgos conocidos.