Qué es el riesgo inherente y cómo identificarlo

El riesgo inherente representa un concepto fundamental en la gestión moderna de riesgos empresariales. Se define como el nivel de riesgo presente en una actividad, proceso u operación cuando no se han aplicado medidas de control, mitigación o prevención. En otras palabras, constituye el riesgo bruto o virgen, intrínseco a la naturaleza misma de la actividad organizacional, independientemente de cualquier acción correctiva que la empresa pueda implementar posteriormente.

Este tipo de riesgo surge directamente de la exposición inherente a ciertos factores, ya sean internos o externos, que pueden generar impactos negativos en los objetivos de la organización, como pérdidas financieras, daños reputacionales, interrupciones operativas o incumplimientos normativos. A diferencia del riesgo residual —que es el riesgo que permanece después de aplicar controles—, el riesgo inherente refleja la situación inicial, sin filtros ni reducciones derivadas de políticas, procedimientos o tecnologías de mitigación.

Comprender el riesgo inherente resulta esencial porque proporciona la base para cualquier evaluación efectiva de riesgos. Permite a las organizaciones medir la exposición máxima potencial antes de intervenir, facilitando la priorización de recursos y la toma de decisiones informadas. En entornos volátiles, como los influenciados por cambios tecnológicos, regulaciones estrictas o incertidumbre económica, ignorar este nivel inicial puede llevar a subestimar amenazas críticas y comprometer la sostenibilidad del negocio.

La identificación adecuada del riesgo inherente inicia el ciclo de gestión de riesgos según estándares internacionales como ISO 31000, donde se enfatiza la necesidad de reconocer eventos que puedan afectar positivamente o negativamente los objetivos. No todos los riesgos inherentes son negativos; algunos pueden representar oportunidades si se gestionan adecuadamente, aunque tradicionalmente el enfoque se centra en amenazas.

En la práctica, este concepto aplica a todos los sectores: desde instituciones financieras expuestas al riesgo crediticio inherente en la concesión de préstamos, hasta empresas manufactureras enfrentando riesgos inherentes en procesos productivos con maquinaria pesada. Su evaluación preliminar ayuda a alinear la estrategia de riesgos con el apetito y la tolerancia definidos por la alta dirección.

Además, distinguir claramente entre riesgo inherente y residual permite evaluar la efectividad real de los controles implementados. Un alto riesgo inherente con controles robustos puede traducirse en un riesgo residual bajo y aceptable, mientras que controles insuficientes dejan exposiciones significativas. Por ello, las organizaciones deben invertir en metodologías sistemáticas para su identificación temprana, integrándola en la planificación estratégica y en revisiones periódicas.

En resumen, el riesgo inherente no puede eliminarse por completo, ya que forma parte intrínseca de muchas actividades empresariales. Sin embargo, su reconocimiento oportuno y preciso constituye el primer paso hacia una gestión proactiva, resiliente y alineada con los objetivos de largo plazo de la empresa.

Definición y características del riesgo inherente

El riesgo inherente se entiende como la exposición a eventos adversos o incertidumbres que existen de forma natural en una actividad o proceso organizacional, sin considerar la influencia de controles internos, medidas preventivas o mecanismos de mitigación. Representa el riesgo en su estado puro o máximo, calculado únicamente a partir de la probabilidad de ocurrencia y el impacto potencial del evento, asumiendo ausencia total de acciones correctivas.

Sus características principales incluyen:

• Intrínseco a la actividad: Surge directamente de la naturaleza del negocio, proceso o transacción. Por ejemplo, en una entidad financiera, el riesgo de incumplimiento crediticio es inherente a la función de otorgar préstamos.
• No eliminable por completo: Aunque puede mitigarse, permanece en algún grado porque forma parte esencial de la operación.
• Independiente de controles: Se evalúa sin considerar la efectividad de políticas, procedimientos, tecnología o supervisión existente.
• Base para comparación: Sirve como referencia para medir la reducción lograda mediante controles, permitiendo calcular el riesgo residual.
• Puede ser positivo o negativo: Aunque comúnmente se asocia a amenazas, también puede representar oportunidades inherentes, como innovaciones disruptivas en un sector.

En contraste con el riesgo residual, que refleja el nivel remanente tras aplicar respuestas al riesgo, el inherente muestra la situación hipotética sin intervención. Esta distinción es clave en marcos como COSO o ISO 31000, donde se prioriza evaluar primero el escenario sin controles para dimensionar adecuadamente la necesidad de acciones.

Factores que incrementan el riesgo inherente incluyen complejidad operativa, juicio subjetivo en estimaciones, cambios regulatorios, dependencia de terceros o entornos volátiles. En auditoría financiera, por instancia, se asocia a la susceptibilidad de errores materiales en estados financieros antes de controles.

Reconocer estas características permite a las organizaciones establecer umbrales claros de aceptación y diseñar estrategias proporcionales al nivel inicial de exposición.

Diferencias entre riesgo inherente y riesgo residual

La distinción entre riesgo inherente y riesgo residual es central en cualquier proceso estructurado de gestión de riesgos, ya que marca dos momentos distintos en el ciclo de tratamiento.

El riesgo inherente representa la exposición inicial, sin intervención alguna. Se calcula considerando únicamente la probabilidad natural de ocurrencia y el impacto potencial del evento, ignorando controles existentes o planeados. Constituye el punto de partida para la evaluación.

Por su parte, el riesgo residual es el nivel que persiste después de implementar y ejecutar medidas de mitigación, como políticas, procedimientos, capacitación, seguros o tecnología. Refleja el riesgo neto que la organización asume conscientemente, una vez aplicadas respuestas al riesgo.

Diferencias clave:

• Momento de evaluación: El inherente se mide antes de controles; el residual, después.
• Nivel de exposición: El inherente suele ser más alto; el residual, más bajo (idealmente dentro del apetito de riesgo).
• Propósito: El inherente sirve para identificar prioridades y dimensionar controles necesarios; el residual evalúa efectividad de las acciones tomadas y decide si se requieren ajustes adicionales.
• Cálculo: Inherente = Probabilidad × Impacto (sin controles); Residual = Probabilidad ajustada × Impacto ajustado (post-controles).

Ejemplos ilustrativos:

• En una empresa de software: riesgo inherente de ciberataques por desarrollo de aplicaciones (alta probabilidad e impacto sin firewalls ni encriptación); riesgo residual tras implementar autenticación multifactor y monitoreo continuo (significativamente reducido).
• En banca: riesgo inherente de incumplimiento en préstamos (por naturaleza del negocio); riesgo residual tras scoring crediticio, garantías y seguimiento.

Esta comparación permite determinar si los controles son proporcionales al riesgo inicial y si el nivel remanente es tolerable. Cuando el residual excede el apetito de riesgo, se activan tratamientos adicionales.

Métodos para identificar el riesgo inherente

La identificación del riesgo inherente requiere enfoques sistemáticos que eviten sesgos y capturen la exposición real sin controles. Los métodos más utilizados incluyen:

• Brainstorming y talleres multidisciplinarios: Reunir expertos de diferentes áreas para discutir escenarios posibles, preguntando: ¿qué podría salir mal sin medidas preventivas?
• Análisis de procesos (HAZOP o FMEA adaptado): Descomponer operaciones en pasos y evaluar amenazas intrínsecas en cada uno.
• Revisión de entendimiento de la entidad: Analizar factores externos (mercado, regulaciones), naturaleza organizacional, objetivos estratégicos y complejidad operativa.
• Entrevistas y encuestas a expertos: Consultar a gerentes, auditores y personal operativo sobre exposiciones naturales.
• Análisis histórico y benchmarking: Examinar incidentes pasados o comparar con pares del sector para detectar patrones inherentes.
• Matrices preliminares de riesgos: Clasificar actividades por nivel de complejidad, juicio requerido y dependencia externa.

Pasos recomendados:

• Recopilar información actualizada sobre objetivos, procesos y entorno.
• Identificar fuentes de riesgo (internas/externas).
• Evaluar sin considerar controles existentes.
• Documentar en registros o mapas preliminares.

Estos métodos, alineados con ISO 31000, aseguran una identificación exhaustiva y objetiva.

Ejemplos prácticos de riesgo inherente en diferentes sectores

En el sector financiero, el riesgo inherente de crédito surge al prestar dinero, con posibilidad de incumplimiento por deudores.

En manufactura, procesos con maquinaria pesada presentan riesgo inherente de accidentes graves.

En tecnología, desarrollo de software conlleva riesgo inherente de vulnerabilidades de seguridad.

En retail, dependencia de proveedores externos genera riesgo inherente de interrupciones en cadena de suministro.

Estos ejemplos destacan cómo el riesgo inherente varía por industria pero siempre está ligado a la esencia operativa.

El riesgo inherente constituye la base indispensable de cualquier sistema efectivo de gestión de riesgos. Al representar la exposición máxima sin intervención, obliga a las organizaciones a confrontar la realidad de sus actividades y a diseñar respuestas proporcionales y efectivas.

Identificarlo de manera rigurosa permite priorizar esfuerzos, asignar recursos inteligentemente y evaluar con precisión la utilidad de los controles implementados. La transición del riesgo inherente al residual revela el valor real de las medidas adoptadas y asegura que el nivel remanente se mantenga dentro del apetito de riesgo definido.

En un entorno empresarial cada vez más complejo y volátil, dominar este concepto no es opcional: es una ventaja competitiva que fortalece la resiliencia, protege el valor y contribuye al logro sostenible de objetivos. Las organizaciones que integran su identificación temprana en la estrategia general no solo evitan pérdidas, sino que convierten incertidumbres en oportunidades gestionadas.

Adoptar prácticas sistemáticas para reconocer y abordar el riesgo inherente representa, en última instancia, un compromiso con la gobernanza responsable y el desarrollo a largo plazo.

Escrito por: Tarsila Carrada