Matriz de riesgos: qué es, cómo hacerla y ejemplos
Todo proyecto carga con cosas que podrían salir mal: un cliente que se va, una entrega que se retrasa, una herramienta que se cae. El problema no es que existan esos riesgos, sino tratarlos todos por igual o, peor, descubrirlos cuando ya estallaron. La matriz de riesgos pone orden: te dice cuáles merecen tu atención ahora y cuáles pueden esperar.
Es una de las herramientas más usadas en gestión de proyectos, prevención laboral y normas como ISO 31000. Su lógica cabe en una frase: cruzar qué tan probable es un riesgo con qué tan grave sería. Esta guía te explica qué es, cómo se calcula el nivel, cómo hacerla paso a paso, sus límites (que casi nadie cuenta) y un ejemplo real. Puedes ir armando la tuya en la calculadora de abajo mientras lees.
Qué es una matriz de riesgos
Definición
Una matriz de riesgos es una herramienta visual que sirve para evaluar y priorizar riesgos cruzando dos variables: la probabilidad de que ocurran y el impacto que tendrían.
Cada riesgo se ubica en una cuadrícula según esos dos valores, y la cuadrícula se colorea como un mapa de calor: verde para lo leve, rojo para lo grave. De un vistazo sabes por dónde empezar.
También se la conoce como matriz de probabilidad e impacto o matriz de evaluación de riesgos. Se usa en muchos contextos. En gestión de proyectos sirve para anticipar lo que amenaza los plazos; en prevención de riesgos laborales, para proteger a las personas; y en empresas que siguen normas como ISO 31000 o ISO 9001, para decidir con criterio.
Su valor no está en la cuadrícula bonita, sino en la conversación que obliga a tener. Sentar al equipo a estimar la probabilidad y el impacto de cada riesgo saca a la luz peligros que nadie había nombrado. Y desactiva el clásico "esto ya lo veíamos venir".
Calcula tu matriz de riesgos
Ajusta la probabilidad y el impacto de cada riesgo (de 1 a 5) con los botones. El nivel y el color se calculan solos (riesgo = probabilidad impacto) y cada riesgo se ubica como punto en el mapa de calor 5x5. Los nombres se editan.
Los dos ejes: probabilidad e impacto
Toda la matriz descansa en dos preguntas. La probabilidad (o frecuencia) responde a qué tan factible es que el riesgo se materialice. El impacto (o gravedad) responde a qué tan serio sería el daño si ocurre. Cada eje se mide en una escala, que puede ser cualitativa (de muy bajo a muy alto) o numérica (de 1 a 5).
La clave es definir bien qué significa cada nivel antes de empezar, para que todo el equipo puntúe con la misma vara. Esta es una escala típica de cinco niveles:
| Nivel | Probabilidad (qué tan factible es) | Impacto (qué tan grave sería) |
|---|---|---|
| 1 · Muy bajo | Sería raro que ocurra. | Daño insignificante, casi sin efecto. |
| 2 · Bajo | Podría ocurrir alguna vez. | Daño menor, fácil de absorber. |
| 3 · Medio | Es posible, ocurre de vez en cuando. | Daño moderado, se nota pero se gestiona. |
| 4 · Alto | Es probable que ocurra. | Daño serio, afecta plazos o presupuesto. |
| 5 · Muy alto | Casi seguro que ocurre. | Daño grave o catastrófico. |
No hay una escala oficial: estos nombres y descripciones son un ejemplo habitual, no una norma. Lo importante es que tu equipo acuerde qué quiere decir cada número y lo deje por escrito. Esto vale sobre todo para el impacto: conviene aterrizarlo a tu realidad, en dinero, días de retraso o efecto en el cliente.
Cómo se calcula el nivel de riesgo
El nivel de cada riesgo sale de una multiplicación simple: riesgo = probabilidad por impacto. En una matriz de 1 a 5 por eje, el resultado va de 1 (lo más leve) a 25 (lo más grave). Ese número se traduce en un nivel con su color, que es lo que da a la matriz su lectura de semáforo.
| Nivel | Puntuación (en 5x5) | Qué hacer |
|---|---|---|
| Bajo | 1 a 4 | Aceptar y vigilar. No requiere acción inmediata. |
| Medio | 5 a 9 | Definir medidas y un responsable; revisarlo con regularidad. |
| Alto | 10 a 14 | Actuar pronto con un plan concreto de reducción. |
| Crítico | 15 a 25 | Prioridad máxima. Tratarlo antes de avanzar. |
Una advertencia importante: ni los nombres de los niveles, ni dónde cortas cada banda, ni la paleta de colores son un estándar universal. Son convenciones que cada organización adapta. Verás matrices con tres colores y otras con cinco; ninguna es la correcta por sí sola. Lo que importa es que los cortes tengan sentido para tus decisiones y que los uses de forma consistente.
Tamaños de matriz: 3x3, 4x4 y 5x5
Las matrices más comunes son de 3x3, 4x4 y 5x5, según cuántos niveles uses en cada eje. No hay una mejor: hay un equilibrio entre simpleza y detalle.
| Tamaño | Ventaja | Desventaja | Cuándo usarla |
|---|---|---|---|
| 3x3 | Simple y rápida de llenar. | Poco discrimina: casi todo cae en el centro. | Equipos que empiezan o evaluaciones rápidas. Es la base del método del INSST en prevención laboral en España. |
| 4x4 | Más matiz sin demasiada complejidad. Sin fila central que invite a la tibieza. | Obliga a decidir entre alto y bajo, lo que incomoda a algunos. | Cuando quieres evitar que todo quede en medio. |
| 5x5 | La más detallada; separa mejor los riesgos. | Más subjetiva: distinguir un 3 de un 4 es difícil y poco fiable. | Proyectos grandes o áreas con experiencia en gestión de riesgos. |
La regla práctica: empieza simple. Una 3x3 o 4x4 basta para la mayoría de los equipos y se llena en minutos. Sube a 5x5 solo cuando notes que necesitas más matiz y tu equipo tenga criterio para distinguir niveles cercanos sin inventárselos. En la prevención de riesgos laborales en España, por ejemplo, el método general del INSST se apoya en una 3x3.
Cómo hacer una matriz de riesgos paso a paso
Crear una matriz de riesgos lleva poco si sigues un orden. Estos cinco pasos te llevan de una lluvia de ideas a un plan con responsables.
- Identifica los riesgos Reúne al equipo y haz una lista de lo que podría salir mal en el proyecto o la operación. Sé concreto: "el cliente principal cancela el contrato" sirve; "problemas con clientes" no. Anota también la causa de cada uno, porque ahí está la pista para tratarlo.
- Valora la probabilidad Para cada riesgo, estima qué tan factible es que ocurra en tu escala (por ejemplo, de 1 a 5). Apóyate en datos históricos cuando los tengas; cuando no, en el criterio del equipo, pero deja por escrito en qué te basas.
- Valora el impacto Estima qué tan grave sería el daño si el riesgo se materializa, en plazos, presupuesto, calidad o reputación. Usa la misma escala numérica que en la probabilidad para poder multiplicar después.
- Calcula el nivel y ubícalo Multiplica probabilidad por impacto y coloca cada riesgo en la matriz según su puntuación. El color de la zona te dice de un vistazo cuáles son los que más arden y cuáles pueden esperar.
- Prioriza y define la respuesta Empieza por los rojos. A cada riesgo relevante asígnale una estrategia (evitar, mitigar, transferir o aceptar), un responsable y una fecha de revisión. Una matriz sin respuestas asignadas es un diagnóstico sin tratamiento.
El último paso es el que separa una matriz útil de un adorno. Para no perder de vista las respuestas, ayuda apoyarse en métodos de priorización de tareas y dejar cada riesgo con un dueño claro.
Estrategias de respuesta al riesgo
Ubicar el riesgo en la matriz es el diagnóstico; la respuesta es el tratamiento. La gestión de proyectos, siguiendo el PMBOK del PMI, define un puñado de estrategias para las amenazas, y la zona de la matriz donde cae el riesgo te orienta sobre cuál usar.
| Estrategia | Qué significa | Cuándo encaja en la matriz |
|---|---|---|
| Evitar | Eliminar el riesgo cambiando el plan: no hacer la actividad que lo genera. | Riesgos críticos que no puedes reducir de otra forma. |
| Mitigar | Reducir la probabilidad, el impacto o ambos con medidas concretas. | La respuesta más común para la zona alta y crítica. |
| Transferir | Pasar el impacto a un tercero pagando una prima: seguros, garantías, contratos de precio fijo, subcontratar. | Riesgos de impacto alto pero baja probabilidad. |
| Aceptar | Asumir el riesgo de forma consciente, con o sin un plan de contingencia. | La zona baja, donde tratar cuesta más de lo que aporta. |
| Escalar | Derivarlo a quien tenga la autoridad para decidir, si excede tu nivel. | Riesgos que están fuera del alcance del equipo o del proyecto. |
La idea de fondo: no todos los riesgos se tratan igual. Los críticos casi siempre piden evitarlos o mitigarlos; los de impacto alto pero poco probables suelen ser candidatos a transferir; y los leves se aceptan sin gastar energía en ellos. La matriz no elige por ti, pero te dice dónde concentrar el esfuerzo.
¿Tu matriz de riesgos vive en un Excel que nadie reabre?
En Rock el chat, las tareas y las notas viven en un solo espacio. Cada riesgo se convierte en una tarea con responsable y fecha de revisión, donde el equipo ya trabaja. El plan deja de quedarse en la hoja.
Riesgo inherente vs riesgo residual
Un matiz que casi ningún artículo explica y que cambia cómo lees la matriz: la diferencia entre riesgo inherente y residual.
El riesgo inherente es el nivel que tiene un riesgo antes de aplicar ningún control, en su estado natural. El riesgo residual es el que queda después de las medidas que tomas. Por ejemplo, la pérdida de datos puede ser un riesgo inherente crítico; con copias de seguridad automáticas y un proveedor con garantías, el riesgo residual baja a medio.
Esto importa por una razón simple: lo que de verdad aceptas y convives es el riesgo residual, no el inherente. Por eso muchas matrices se puntúan dos veces, antes y después de los controles. Ver ambos números juntos te muestra cuánto te están aportando realmente tus medidas, y si vale la pena reforzarlas.
Ejemplo de matriz de riesgos
Veámosla aplicada a un caso concreto: una agencia de marketing de contenidos de ocho personas, la misma que en otras guías usó un FODA para decidir su rumbo. Estos son algunos de sus riesgos, valorados en una escala de 1 a 5, con su nivel y la respuesta elegida.
| Riesgo | Prob. | Imp. | Nivel | Respuesta |
|---|---|---|---|---|
| Depender de 2 clientes para la mayoría de ingresos | 4 | 5 | Crítico (20) | Mitigar: diversificar la cartera de clientes. |
| Renuncia de una persona clave | 3 | 4 | Alto (12) | Mitigar: documentar procesos y formar a un respaldo. |
| Retrasos de entregables por sobrecarga | 4 | 3 | Alto (12) | Mitigar: mejorar la estimación y la capacidad. |
| Caída de la herramienta o pérdida de datos | 2 | 4 | Medio (8) | Transferir: proveedor con respaldos y garantías. |
| Impago o retraso de pago de un cliente | 2 | 3 | Medio (6) | Transferir: anticipo y cláusulas en el contrato. |
La lectura es inmediata. La dependencia de dos clientes es el riesgo crítico, así que encabeza la lista y pide acción ahora: diversificar la cartera. Los dos riesgos altos, persona clave y sobrecarga, vienen después.
Los medios se gestionan con contratos y proveedores adecuados, sin robar el foco. Sin la matriz, los cinco competirían por la misma atención; con ella, el orden es obvio.
Errores y límites de la matriz de riesgos
La matriz de riesgos es útil, pero no es infalible, y conviene conocer sus puntos débiles para no fiarte de ella más de la cuenta. Hay incluso literatura académica que cuestiona su rigor, empezando por el conocido trabajo de Tony Cox de 2008. Estos son los tropiezos más frecuentes.
- El sesgo de centralidad Cuando hay duda, casi todos puntúan en el medio. El resultado es una matriz donde todo es "moderado" y nada destaca, justo lo contrario de lo que buscas. Una escala par (4x4) o pedir que cada persona puntúe a solas antes de debatir ayuda a romperlo.
- Tratar números ordinales como si fueran exactos Un riesgo de puntuación 12 no es "el doble de grave" que uno de 6. Son etiquetas de orden, no medidas precisas. La matriz sirve para priorizar y conversar, no para fingir una exactitud que no tiene.
- Cortes y colores arbitrarios Dónde acaba el amarillo y empieza el rojo es una decisión vuestra, no una ley. Dos riesgos casi idénticos pueden caer en colores distintos por un punto. Define los cortes con criterio y revísalos, no los heredes de una plantilla sin pensar.
- Hacerla una vez y olvidarla Los riesgos cambian con el proyecto. Una matriz de hace seis meses describe un mundo que ya no existe. Revísala en los hitos y cuando cambie algo importante, o dejará de reflejar la realidad.
Nada de esto invalida la herramienta. La matriz sigue siendo una de las mejores formas de ordenar una conversación sobre riesgos y de alinear a un equipo. Solo conviene usarla por lo que es, una guía para priorizar y decidir, y no como un oráculo que entrega verdades exactas.
Riesgos, oportunidades e ISO
Aunque solemos pensar en la matriz para amenazas, la misma herramienta sirve para oportunidades: riesgos de impacto positivo. Si un evento incierto, en caso de ocurrir, beneficiaría al proyecto, es una oportunidad, y se ubica en la matriz igual que una amenaza. Lo que cambia es la respuesta: en lugar de evitar o mitigar, buscas explotar, mejorar o compartir ese evento para que ocurra.
En el plano normativo, la matriz encaja en marcos como ISO 31000:2018, el estándar internacional de gestión del riesgo, e ISO 9001, con su pensamiento basado en riesgos. Conviene una precisión: ISO 31000 no es prescriptiva, es decir, no obliga a usar un tamaño concreto de matriz ni unas escalas o colores determinados. Da los principios y el proceso, y espera que cada organización los adapte a su contexto. Cualquiera que te diga que "ISO 31000 exige una matriz 5x5" se equivoca.
Plantilla de matriz de riesgos
Una plantilla útil combina dos cosas: un registro de riesgos (la lista, con sus datos) y la matriz visual que los ubica. El registro es donde vive el detalle; la matriz, donde se ve la prioridad. Estas son las columnas mínimas del registro:
| Columna del registro | Qué anotar |
|---|---|
| Riesgo | Descripción concreta de lo que podría salir mal. |
| Causa | Qué lo provocaría; la pista para tratarlo. |
| Probabilidad | Valor en tu escala (por ejemplo, 1 a 5). |
| Impacto | Valor en la misma escala. |
| Nivel | Probabilidad por impacto, con su color. |
| Respuesta y responsable | Estrategia elegida, quién la lleva y para cuándo. |
Puedes montarla en una hoja de cálculo, en un documento o en la calculadora del inicio de esta guía, que ya pinta el mapa de calor y calcula el nivel por ti. El formato da igual; lo que no puede faltar es la columna de respuesta y responsable, porque sin ella la matriz se queda en diagnóstico.
La matriz de riesgos junto a otras herramientas
La matriz de riesgos rara vez trabaja sola. Suele venir después de un diagnóstico y antes de la ejecución, así que encaja en una cadena con otras herramientas de gestión.
| Herramienta | Qué aporta | Cuándo usarla |
|---|---|---|
| Análisis FODA | Diagnóstico de fortalezas, debilidades, oportunidades y amenazas. | Al planear; sus amenazas alimentan la matriz de riesgos. |
| Matriz de riesgos | Prioriza esas amenazas por probabilidad e impacto. | Cuando ya sabes qué puede salir mal y debes ordenarlo. |
| Matriz RACI | Asigna quién responde por cada tarea o riesgo. | Para poner un dueño a cada respuesta al riesgo. |
| Diagrama de Gantt | Ubica tareas y respuestas en el tiempo. | Para programar cuándo se atiende cada riesgo. |
Una secuencia habitual: un análisis FODA saca a la luz las amenazas, la matriz de riesgos las prioriza, una matriz RACI pone un responsable a cada respuesta y un diagrama de Gantt las ubica en el calendario.
Lo que hacemos en Rock
En Rock vemos un patrón claro: la matriz de riesgos casi nunca falla por estar mal calculada. Falla porque vive en un Excel separado del trabajo real. Se llena al arrancar el proyecto, se comparte una vez y, en cuanto el equipo vuelve a su día a día, nadie revisa si esos riesgos se movieron.
Por eso construimos Rock alrededor de un solo espacio donde el chat, las tareas y las notas conviven. La matriz puede vivir como una nota compartida, y cada riesgo relevante se convierte en una tarea con responsable y fecha de revisión, en el mismo lugar donde el equipo ya conversa. El diagnóstico y el tratamiento dejan de vivir en archivos distintos.
Nuestra recomendación es simple: no dejes la matriz en la hoja. Convierte los riesgos altos y críticos en tareas con dueño y revísalos en tu planeación. Si la información de tu equipo sigue repartida entre varias apps, vale la pena comparar las herramientas de colaboración antes de decidir dónde vivirá ese seguimiento.
Preguntas frecuentes
¿Qué es una matriz de riesgos?
Es una herramienta visual que ayuda a evaluar y priorizar riesgos cruzando dos variables: la probabilidad de que ocurran y el impacto que tendrían. Cada riesgo se ubica en una cuadrícula coloreada (un mapa de calor) según su nivel, lo que muestra de un vistazo cuáles atender primero. También se la llama matriz de probabilidad e impacto o matriz de evaluación de riesgos.
¿Cómo se calcula el nivel de riesgo?
Multiplicando la probabilidad por el impacto, cada uno en una escala numérica (por ejemplo, de 1 a 5). En una matriz 5x5, el resultado va de 1 a 25 y se traduce a niveles con colores: bajo (verde), medio (amarillo), alto (naranja) y crítico (rojo). Los cortes exactos los define cada organización.
¿Qué tamaño de matriz conviene, 3x3 o 5x5?
La 3x3 es simple pero discrimina poco: casi todo cae en el centro. La 5x5 da más detalle pero es más subjetiva, porque distinguir un 3 de un 4 es difícil. Para empezar, una 3x3 o 4x4 suele bastar; reserva la 5x5 para proyectos grandes o equipos con experiencia en gestión de riesgos.
¿Cuál es la diferencia entre riesgo inherente y riesgo residual?
El riesgo inherente es el nivel que tiene un riesgo antes de aplicar controles. El residual es el que queda después de las medidas que tomas. Distinguirlos importa porque lo que de verdad decides aceptar es el riesgo residual, no el inherente.
¿Cuáles son las estrategias de respuesta a un riesgo?
Las cuatro clásicas son evitar (eliminar la causa), mitigar (reducir probabilidad o impacto), transferir (pasarlo a un tercero, como un seguro) y aceptar (asumirlo de forma consciente). El PMBOK añade escalar, para riesgos que exceden tu nivel de decisión.
¿La matriz de riesgos sirve solo para amenazas?
No. La misma matriz sirve para oportunidades, es decir, riesgos de impacto positivo. En ese caso las estrategias se invierten: en lugar de evitar o mitigar, buscas explotar, mejorar o compartir el evento para que ocurra y aproveche al proyecto.
Una matriz de riesgos solo sirve si cada riesgo termina en una acción que alguien ejecuta. Rock combina chat, tareas y notas en un solo espacio. Un precio plano, usuarios ilimitados. Empieza gratis.
