Por César A. Duque A.

Director General y CEO de CD&A Consultores de Riesgos & Continuidad SAS

Riesgo INHERENTE
vs
Riesgo RESIDUAL
Conceptos y usos en la gestión
estratégica de riesgos ERM

Aparente claridad de conceptos, pero confusión al momento de aplicarlos

Aunque en los últimos años se ha incrementado el grado de normalización en el campo de la gestión de riesgos y la gran
mayoría de los modelos existentes incorporan “glosarios” para facilitar su comprensión, es evidente que dichos
compendios de terminología no son aún ni intensivos ni homogéneos y en algunos casos son ambiguos. Lo anterior lleva a
dudas, discusiones e interpretaciones que dificultan y “meten ruido” innecesario en la práctica profesional; esto es
evidente cuando se usan los conceptos de riesgo INHERENTE y riesgo RESIDUAL.

Por ser términos de uso difundido, se asume que hay suficiente claridad sobre su significado, pero desafortunadamente
no ha sido así. Por ello dedicaremos el presente documento para hacer algunas consideraciones que espero sean de
utilidad.

Es necesario tener en cuenta que la gran mayoría de las organizaciones dedicadas a la gestión de riesgos y temas
asociados solo tienden a incorporar términos que consideran indispensables y que generen valor agregado al proceso.
Revisando los glosarios de las organizaciones de referencia a nivel internacional 1, ya sea porque emiten normas o guías de
aplicación, se puede evidenciar que todas ellas - con excepción de SRA (Society of Risk Analysis), NFPA (National Fire
Protection Association) y COSO (Committee of Sponsoring Organizations of the Treadway Commission) incorporan el
término “Riesgo Residual” y sus significados son coincidentes. No sucede igual con el término “Riesgo Inherente”, ya que
de todas las organizaciones consultadas la única que lo incorpora es ISACA, aunque COSO ERM, si bien es cierto que no lo
incluye en el Glosario, en el cuerpo de la guía hace referencia y define tanto el concepto de Riesgo Inherente como Riesgo
Residual (Principio 11: Evalúa la Gravedad del Riesgo).

1
Los Glosarios consultados corresponden a las siguientes organizaciones: International Organization for Standardization ISO (Normas ISO-IEC 73:
Vocabulario en Gestión de Riesgos, ISO 31000: Gestión de Riesgos – Directrices, ISO 22000: Sistemas de gestión de la inocuidad de los alimentos -
Requisitos para cualquier organización de la cadena alimentaria, ISO 22300: Seguridad y Resiliencia – Vocabulario, ISO 27000: Tecnología de la
información - Técnicas de seguridad - Sistemas de seguridad de la información - Descripción general y vocabulario, ISO 28000: Sistemas de gestión de
seguridad de la cadena de suministro, ISO: 45000: Sistemas de gestión de la seguridad y la salud en el trabajo - Requisitos con orientación para su uso);
Society of Risk Analysis SRA (SRA Glossary) ; Deparment of Homeland Security DHS (DHS Risk Lexicon); National Fire Protection Association NFPA (NFPA
Glossary of Terms); Business Continuity Institute BCI (Glossary of Business Continuity Terms); DRI International (International Glossary for Resiliency);
Information Systems Audit and Control Association ISACA (ISACA Glossary of Terms); Committee of Sponsoring Organizations of the Treadway
Commission COSO (COSO ERM).

Página 1 de 7 - “Riesgo INHERENTE vs Riesgo RESIDUAL: Conceptos y usos en gestión estratégica de riesgos ERM”. Dic 2019
Servicio de Información CD&A Consultores de Riesgos & Continuidad SAS

A continuación, trataremos de analizar, en el contexto de las normas y buenas prácticas utilizadas en gestión de riesgos,
dónde “encajan” los términos objeto del presente documento y su utilidad.

Proceso de Gestión de Riesgos: clave para entender los conceptos y su

aplicación
Comencemos por recordar que un proceso integral de gestión de riesgos tiene como propósito manejar los riesgos
asociados con una organización con el fin de facilitar y garantizar su misión y el logro de sus objetivos estratégicos. Sobre
esto creo que no existe discusión y todos los enfoques son coincidentes.

La gestión de riesgos obedece a modelos adoptados por las organizaciones en función de su contexto y necesidades y se
desarrolla aplicando unos principios y un proceso contenidos en la Norma ISO 31000 GESTION DE RIESGOS – Directrices,
cuya última versión corresponde al año 2018, que son ampliamente reconocidos y aceptados por las diferentes normas
internacionales y nacionales y las organizaciones relacionadas con el tema que las referencian de manera explícita.

El objetivo de la gestión de riesgos es generar y proteger el valor de las organizaciones. Esto se logra en dos dimensiones:
a) Mantener el valor actual evitando daños, deterioro o perdidas al enfrentar y correr riesgos, refiriéndose al manejo de
aquellos riesgos sin retribución; b) Crear valor mediante el aprovechamiento de las oportunidades asociadas a correr
riesgos, refiriéndose a aquellos riesgos que pueden generar recompensa.

El proceso puede resumirse en cinco pasos, así:

1. Entender el contexto, tanto interno como externo, en el cual se desenvuelve y opera una organización o negocio y
construcción de criterios y premisas adecuadas a los intereses de ella, incluyendo los niveles de aceptabilidad y
tolerancia al riesgo y la manera de medirlas.

2. Identificar y conocer las amenazas de cualquier tipo y origen asociadas con dicho contexto.

3. Analizar y valorar los riesgos derivados de las amenazas identificadas, determinando sus expectativas de presentación
y los efectos potenciales que podrían generarse en caso de que llegaran a materializarse. Esta valoración se hará
utilizando diferentes técnicas según el escenario considerado2 y criterios acordes con el modelo adoptado por la
organización y corresponderá a las condiciones encontradas al momento de hacerlo; todo lo anterior basado en unos
criterios preestablecidos de aceptabilidad y tolerancia a los riesgos y capacidad de soportarlos para la consecución de
sus objetivos. (Los pasos 2 y 3 en su conjunto corresponden a lo que la Norma ISO 31000 denomina Risk Assessment
traducido como “apreciación” del riesgo en la versión en español de la norma e implica medir de alguna manera el
nivel del riesgo y compararlo con la línea base de aceptabilidad).

4. Definir estrategias y adoptar controles que permitan de una manera costo-beneficiosa intervenir el riesgo ya sea
manteniéndolo en el nivel en que se encuentre, disminuyéndolo a unos niveles deseados o posibles, o
incrementándolo razonablemente para aprovechar las oportunidades.

5. Realizar un seguimiento y verificación a los controles para asegurar que cumplan con los propósitos para los cuales se
adoptaron, así como identificar cambios que hayan podido darse en el contexto y realizar los ajustes y/o
modificaciones requeridas y posibles para garantizar los objetivos, todo ello en un diálogo continuo con los diferentes
Stakeholders de la organización.
CD&A SAS – Colombia – Derechos Reservados ® 2019
Prohibida su reproducción sin autorización del Autor

Es importante resaltar que, en definitiva, el proceso está orientado fundamentalmente a conocer como son los riesgos
ahora (Al momento de la evaluación) y como quiero que lleguen a ser a partir de este momento y hacia el futuro, con
base en las definiciones adoptadas y acciones implementadas por la organización.

El anterior proceso se desarrolla con la aplicación de unos principios claramente establecidas en la ISO 31000. Uno de
estos principios está orientado a reconocer que el proceso es DINÁMICO, ya que los riesgos cambian y/o se modifican de
manera continua u ocasional ya sea por alteraciones en el contexto o por efecto de los controles que se establezcan.

2
Norma ISO 31010:2019 “Técnicas de Apreciación de Riesgos”, International Organization for Standarization.

Página 2 de 7 - “Riesgo INHERENTE vs Riesgo RESIDUAL: Conceptos y usos en gestión estratégica de riesgos ERM” Dic 2019
Servicio de Información CD&A Consultores de Riesgos & Continuidad SAS

Adicionalmente debe tenerse en cuenta que al ser el riesgo un hecho potencial (no ha ocurrido), su gestión es una
actividad “hacia adelante” o hacia el futuro (Cae en el campo de la prospectiva).

Dada la dificultad que tienen las organizaciones para desarrollar el proceso de manera “continua” y en tiempo real para
atender a esa dinámica, en la práctica el proceso se realiza de manera cíclica, lo que significa que cada cierto tiempo,
definido por el modelo adoptado, se ejecuta dicho proceso con un enfoque de mejora continua.

La aplicación del proceso en ciclos significa que, cada vez que se realice, se parte de un “punto cero relativo N”, o sea que
se inicia donde el riesgo se encuentre en dicho momento, o, dicho de otra forma, en las condiciones de riesgo que se
tengan al finalizar el ciclo anterior, salvo que sea la primera vez que se realiza. Para explicarlo más claramente, pongamos
un ejemplo hipotético: La empresa ACME realizó en una fecha “A” (Hace 6 meses) la apreciación de sus riesgos y con base
en ella implementó un conjunto de medidas de control para llevarlos o acercarlos al nivel considerado como aceptable, y
en la fecha “B”, hoy, decide realizar una nueva apreciación. Para la primera apreciación el punto cero relativo A fue
conocer cómo se encontraban los riesgos en esa fecha “A” en función de la línea base de aceptabilidad establecida
entonces. Para la nueva apreciación de hoy, lo que busca es conocer cómo se encuentran ahora, en la fecha “B”, esos
riesgos u otros nuevos que hayan surgido desde entonces, en función de la línea base de aceptabilidad, que puede ser la
misma que se tenía en la Fecha “A” o podría ser diferente si la organización así lo ha determinado. Este sería el punto cero
relativo B para la nueva apreciación de los riesgos. De igual manera se procederá hacia el futuro en nuevos ciclos “C”, “D”,
etc., cada uno de ellos iniciado con un nuevo punto cero relativo N.3 (Véase Gráfico No 1)

Gráfico No 1: Gestión de Riesgos por CICLOS

Es entonces fácil entender que cuando se habla de un ciclo de gestión de riesgos hay dos estadios: una condición de los
riesgos al inicio y otra al final del ciclo, referidas a como estoy ahora y como espero estar dentro de un tiempo, o lo que es
lo mismo, de donde parto y a donde quiero llegar. Es por ello que, para la ejecución de cada ciclo de gestión de riesgos,
suele utilizarse dos conceptos claves relacionados con esos dos estadios; ellos son Riesgo INHERENTE y Riesgo RESIDUAL.
Veamos las acepciones más utilizadas.
CD&A SAS – Colombia – Derechos Reservados ® 2019
Prohibida su reproducción sin autorización del Autor

¿Qué podría ser el Riesgo Residual?

Iniciemos con el concepto RIESGO RESIDUAL dado que sobre él no hay divergencias sobre su significado y solo algunas
observaciones complementarias sobre su uso. Las definiciones encontradas, son:

a. ISACA: El riesgo restante después de que la gerencia ha implementado una respuesta al riesgo

3
Independientemente del lapso de cada ciclo y de los cambios surgidos ya sea en el contexto, los criterios o en los riesgos, la finalidad de cada ciclo sigue
siendo la misma explicada en el proceso de gestión o sea conocer como son los riesgos ahora (en el momento de la apreciación) y como quiero que
lleguen a ser a partir de este momento, con base en las definiciones adoptadas y acciones implementadas por la organización.

Página 3 de 7 - “Riesgo INHERENTE vs Riesgo RESIDUAL: Conceptos y usos en gestión estratégica de riesgos ERM” Dic 2019
Servicio de Información CD&A Consultores de Riesgos & Continuidad SAS

b. ISO-IEC 73: Riesgo restante después del tratamiento de riesgo

c. ISO 22300: riesgo remanente después del tratamiento de riesgo
d. ISO 27000: riesgo restante después del tratamiento de riesgo
e. COSO: El riesgo que permanece después de que la dirección haya realizado sus acciones para reducir el
impacto y la probabilidad de un acontecimiento adverso, incluyendo las actividades de control en
respuesta a un riesgo.
f. DRI: Nivel de riesgo remanente después de que se han implementado todas las acciones costo-efectivas
para reducir el impacto, la probabilidad y las consecuencias de un riesgo o grupo de riesgos específicos,
sujeto al apetito al riesgo de una organización.
g. BCI: el nivel de riesgo restante después de que se hayan tomado todas las medidas rentables para
disminuir el impacto, la probabilidad y las consecuencias de un riesgo específico o grupo de riesgos,
sujeto al apetito de riesgo de una organización
h. DHS: riesgo que queda después de que se hayan implementado medidas de gestión de riesgos
Tal como se evidencia en las anteriores definiciones, TODAS las fuentes consultadas coinciden en el significado: se refieren
al nivel de riesgo DESPUES de que la organización interesada haya decido y/o hecho “algo” respecto a dicho riesgo; es
importante analizar ese “algo” para dilucidar cual sería el momento adecuado para apreciar el riesgo residual y entender
el uso del resultado obtenido. Repasando las definiciones (Véanse los subrayados míos), puede notarse que, salvo el BCI,
todas son muy explicitas en establecer que el riesgo residual se establece al final de la implementación4 de las acciones o
controles. BCI se refiere a que se “hayan tomado medidas”, lo cual podría interpretarse como que la apreciación del riesgo
residual podría hacerse sobre la adopción de decisiones de qué hacer con el riesgo, aunque todavía ellas no se hayan
implementado. Quedan entonces planteadas dos opciones de tiempo para la apreciación del Riesgo Residual: al momento
de tomar la decisión sobre cómo se van a intervenir y el momento en el cual ya se ha implementado la decisión.

Con relación a lo anterior algunos autores se refieren a esa dicotomía y en general coinciden en que al momento de
decidir cual o cuales controles adoptar se puede establecer ya, de acuerdo con la capacidad potencial de dichos controles,
un nuevo nivel de riesgos que se esperaría alcanzar en la eventualidad de que dichas medidas se llegaran a implementar,
siendo ello entonces una medición hipotética. A esto le denominan “Riesgo Residual Proyectado” y corresponde a un
nivel de riesgo que esperaríamos lograr con determinadas medidas adoptadas, pero no implementadas todavía. No se
debe confundir este concepto con el llamado “Riesgo Residual Objetivo”, planteado por COSO ERM en el principio 11:

“El riesgo residual objetivo es la cantidad de riesgo que una entidad prefiere asumir en la búsqueda de su estrategia y
objetivos comerciales, sabiendo que la administración implementará, o ha implementado, acciones directas o enfocadas para
alterar la severidad del riesgo.”

El Riesgo Residual Objetivo plantea una meta que la organización esperaría lograr respecto al nivel de riesgo, pero que no
necesariamente va a lograr con las medidas que se adopten o implementen y de alguna manera determina un “nivel de
aceptabilidad” para el riesgo considerado.

Varios autores se refieren a otra categoría de riesgo residual y es el realmente logrado como resultado de los controles
adoptados, que por lo tanto solo puede ser apreciado un tiempo después de la implementación cuando se espera que han
debido mostrar resultados, siendo esta la medición de una condición existente. A esto lo denominan “Riesgo Residual
Efectivo” o “Riesgo Residual Real” y corresponde a un nivel de riesgo que ya se ha alcanzado con la implementación
parcial o total de los controles decididos. Al respecto COSO ERM establece:
CD&A SAS – Colombia – Derechos Reservados ® 2019
Prohibida su reproducción sin autorización del Autor

“El riesgo residual real es el riesgo restante después de que la gerencia haya tomado medidas para alterar su gravedad. El
riesgo residual real debe ser igual o menor que el riesgo residual objetivo. Cuando el riesgo residual real excede el riesgo
objetivo, se deben identificar acciones adicionales que permitan a la administración alterar aún más la gravedad del riesgo.”

Trataremos de aclarar, con un ejemplo hipotético, los anteriores conceptos. La empresa ACME, en el ciclo actual de
gestión de riesgos, ha identificado un Riesgo (RX) cuyo nivel o valor relativo, medido de acuerdo con la metodología y
criterios de apreciación previamente definidos por la organización en su modelo adoptado, es de 5 puntos (RXInicial = 5).
La empresa define que, en función de sus necesidades estratégicas, el nivel máximo de riesgo que desea asumir para este

4
Diccionario de la Lengua Española DLE: Adaptado del inglés” to implement”: Poner en funcionamiento o aplicar métodos, medidas, etc., para
llevar algo a cabo.

Página 4 de 7 - “Riesgo INHERENTE vs Riesgo RESIDUAL: Conceptos y usos en gestión estratégica de riesgos ERM” Dic 2019
Servicio de Información CD&A Consultores de Riesgos & Continuidad SAS

asunto específico tiene un valor de 2 puntos (RxObjetivo = 2). Analiza y, entre diversas opciones disponibles, define
adoptar ciertas medidas específicas de control y evalúa que, con las características de ellas y el plan de acción proyectado
para su implementación, en 4 meses el riesgo podría bajar a un nivel de 3 puntos (RxResidual-Proyectado = 3).
Implementa las medidas adoptadas y a los 4 meses aprecia de nuevo el riesgo y encuentra que el resultado obtenido
realmente con los controles es de 4 puntos de riesgo (RxResidual-Efectivo = 4).
Resumiendo, los riesgos en el ejemplo de la empresa ACME:
• Nivel de Riesgo evaluado al inicio del ciclo: Riesgo inicial del escenario X = 5 (Punto Cero relativo del ciclo)
• Nivel de Riesgo establecido como meta aceptable: Riesgo objetivo para el escenario X = 2
• Nivel de Riesgo que se esperaría lograr con los controles que están dispuestos a adoptar: Riesgo Residual
Proyectado para el escenario X = 3
• Nivel de Riesgo realmente alcanzado como resultado luego de la implementación de los controles: Riesgo
Residual Efectivo (o Real) del escenario X = 4

¿Y el Riesgo Inherente?
Abordaremos ahora el análisis correspondiente al concepto de RIESGO INHERENTE sobre el cual no hay muchas
referencias normativas.

Sobre riesgo inherente en la literatura y algunas pocas normas que lo utilizan aparecen estas acepciones:

a. ISACA: El nivel de riesgo o exposición sin tener en cuenta las acciones que la administración ha tomado o podría tomar
(por ejemplo, implementar controles). (ISACA)
b. COSO ERM: Es el riesgo para una entidad en ausencia de acciones directas o enfocadas por parte de la administración
para alterar su gravedad (COSO ERM)
c. Una medición de la evaluación del auditor de la probabilidad de que existan errores de importancia en un segmento antes
de considerar la eficacia del control interno. (Tomado del Libro Auditoría Un enfoque integral. XI edición).
d. Riesgo antes de aplicar medidas de control (Algunos autores)
e. Riesgo en ausencia de medidas de control (Algunos autores)

En principio, mirando las definiciones consignadas y los subrayados míos, puede evidenciarse que hay un punto de
coincidencia en el sentido que todas las acepciones se refieren de manera expresa a la condición del riesgo ANTES de que
se haya hecho algo para tratar de influir sobre él. Sin embargo, dándole una interpretación amplia surgen dudas respecto
a que “tanto antes” y sobre a “cuales medidas” se refieren. O sea, si nos referimos a antes de tomar y/o implementar
medidas de control en el ciclo actual en el cual vamos a hacer la apreciación de los riesgos, o a otros ciclos anteriores.
¿Cuántos ciclos? ¿Al origen mismo del riesgo? ¿Debemos considerar solo las medidas adoptadas por la organización o
también las tomadas por otros y que tengan influencia sobre nuestro riesgo?
Existe otra acepción para el término “Riesgo Inherente” y se refiere a los riesgos típicos y/o propios de una actividad; por
ejemplo, los incendios y las explosiones son riesgos inherentes a la actividad petrolera; la devaluación será un riesgo
inherente para la actividad bancaria. Sin embargo, esta definición no se refriere a un valor del riesgo sino a un tipo de
riesgo. Las características de estos riesgos inherentes a una actividad es que no hay manera de que ellos puedan ser
evitados (aunque si controlados); En la actividad petrolera no es posible evitar y/o eliminar el riesgo de incendio pues es
una condición propia del petróleo. Es un concepto razonable y con un uso muy claro.
CD&A SAS – Colombia – Derechos Reservados ® 2019
Prohibida su reproducción sin autorización del Autor

Algunos autores hacen referencia a otro concepto que denominan “Riesgo Absoluto” y lo definen como el riesgo en
ausencia total de controles; o sea el riesgo en su origen; También lo llaman RIESGO MAXIMO. Es un enfoque que en el
campo académico suele ser interesante para entender que el riesgo está asociado a condiciones que influyen sobre él y al
cambiar dichas condiciones, variará, y si hipotéticamente pudiésemos eliminar TODAS las acciones o condiciones que
están actuando sobre él para disminuirlo, el riego alcanzaría la peor condición teórica posible, pero es un concepto
abstracto y en la práctica no hay manera de determinarlo ni medirlo. Debemos tener presente que hay controles
voluntarios e involuntarios y muchos de estos últimos, aunque realmente están condicionando el riesgo, tienden
generalmente a ser desconocidos. Por ello las definiciones abiertas sobre riesgo inherente, tal como “en ausencia de
controles” o “antes de tomar medidas” o “sin controles”, nos pueden llevar a este concepto impráctico de Riesgo
Absoluto.

Página 5 de 7 - “Riesgo INHERENTE vs Riesgo RESIDUAL: Conceptos y usos en gestión estratégica de riesgos ERM” Dic 2019
Servicio de Información CD&A Consultores de Riesgos & Continuidad SAS

Conclusiones: Precisiones y usos para una efectiva gestión de los riesgos

La gestión de riesgos es subjetiva y está condicionada a los intereses y necesidades de una organización en particular.
Si nos atenemos al objetivo y proceso de la gestión de riesgos y a los principios definidos por ISO 31000 y consideramos
además que el sentido del proceso es conocer en qué estado de riesgos nos encontramos ahora para determinar si
necesitamos hacer algo sobre los riesgos encontrados, y al hacer algo como quedarían ellos, podemos interpretar los
conceptos de riesgo inherente y residual en función de los usos y necesidades de la gestión de riesgos.
ISO 31000 y SRA no incorporan esas definiciones precisamente para no entorpecer el entendimiento y la práctica de
gestionar riesgos, ya que implícitamente se acepta que en el proceso, aplicado al ciclo de apreciación en que nos
encontremos, hay siempre un riesgo inicial antes de que actuemos y un riesgo final como resultado de nuestras
actuaciones. Algunos se han involucrado en darle nombres a esos estadios con los efectos ya conocidos.

Podríamos, entonces, concluir lo siguiente:

a) Riesgo Inherente, referido a las condiciones que tenga un riesgo particular antes de que adoptemos decisiones e
incorporemos controles sobre el riesgo encontrado. Corresponde al estado del riesgo encontrado en el “punto
cero relativo”. Cada vez que iniciemos un nuevo ciclo de gestión, el riesgo que encontremos en ese momento
será el RIESGO INHERENTE.
b) Riesgo Residual: referido a las condiciones de riesgo que se esperaría tener si se aplicaran determinadas medidas
de control definidas por la organización (Residual proyectado), o que se lograron al final del ciclo, con la
aplicación efectiva de ellas (Residual Real). Se esperaría que estos resultados puedan alcanzar la meta de riesgos
deseada (Residual Objetivo).

En el gráfico de la izquierda (Gráfico No 2)

se muestra el resultado esperado de
intervenir un riesgo.

En el escenario o asunto de riesgo No 5

evaluado, el riesgo encontrado (en el
origen de la flecha, casilla roja) nos dio un
puntaje relativo de riesgo de 9 (0.3 x 30);
este sería nuestro RIESGO INHERENTE. Al
aplicar (o si aplicáramos) una
combinación de medidas de “prevención”
y “protección” específicas a dicho
escenario, el riesgo resultante (al final de
la flecha, casilla verde) tendría un puntaje
de 0.1 (0.01 x 10,); este sería nuestro
RIESGO RESIDUAL
Gráfico No 2: Modificación del Riesgo por intervención
CD&A SAS – Colombia – Derechos Reservados ® 2019
Prohibida su reproducción sin autorización del Autor

Sobra decir que, para cada escenario que se considere, según las opciones de control existentes y las alternativas de
alcance en cada control, se podrían obtener decenas o cientos de posibilidades de Riesgos Residuales Proyectados. El
alcance de cada control variará en función de sus características y componentes que queramos incorporarle, recursos
administrativos que se involucren, dificultad de implementación, niveles de supervisión y aseguramiento requeridos y
disponibles y costos de todos estos elementos, entre otras variables. Por ello, es claro que hasta que no se adopten
decisiones definitivas sobre el control/ controles a implantar y las características y alcances de estos, no es posible
determinar el RIESGO RESIDUAL PROYECTADO.

Es importante acotar que el “Riesgo Residual Real” de un escenario al final de un ciclo de gestión será el “Riesgo
Inherente” del ciclo siguiente (Véase el Gráfico No 3)

Página 6 de 7 - “Riesgo INHERENTE vs Riesgo RESIDUAL: Conceptos y usos en gestión estratégica de riesgos ERM” Dic 2019
Servicio de Información CD&A Consultores de Riesgos & Continuidad SAS

Gráfico No 3: Riesgo Inherente y Residual en cada CICLO

La periodicidad para el desarrollo de los diferentes CICLOS de gestión de riesgos se establece generalmente dentro del
programa de Gestión de Riesgos de la organización, según el tipo y gravedad potencial de los mismos; la presentación de
circunstancias especiales, cambios importantes en el contexto o nuevos proyectos, pueden modificar la periodicidad, pero
en todos los casos el riesgo encontrado al inicio del ciclo será el “Riesgo Inherente” de dicho periodo.

El presente artículo sin modificaciones puede ser distribuido libremente.

Su publicación u otro uso diferente debe contar con la autorización del
autor, y en todos los casos registrar los créditos correspondientes

CD&A SAS – Colombia – Derechos Reservados ® 2019

Prohibida su reproducción sin autorización del Autor

En el próximo artículo presentaremos la

metodología para la apreciación de riesgos basada
en “Rutas de Riesgo” y sus ventajas sobre la
metodología tradicional basada en “Procesos”

Página 7 de 7 - “Riesgo INHERENTE vs Riesgo RESIDUAL: Conceptos y usos en gestión estratégica de riesgos ERM” Dic 2019