Volver al blog
Gestión de Riesgos

Probabilidad vs Impacto: cómo asignar valores en tu matriz

Asignar bien probabilidad e impacto es el secreto de una matriz útil. Aprende los criterios cuantitativos, ejemplos y errores que invalidan tu evaluación.

Publicado 6 de julio de 20266 min de lecturaActualizado 27 de jun de 2026

El error más común en matrices de riesgo es asignar probabilidad e impacto "a ojo". La SFC y la SuperSociedades sancionan cuando no hay metodología documentada. Acá te enseñamos cómo hacerlo bien.

Probabilidad: 3 enfoques válidos

1. Frecuencia histórica (cuantitativo)

Mirá ocurrencias pasadas. Si en 3 años tuviste 6 incidentes de cierto tipo → probabilidad ≈ 2/año.

2. Análisis de escenarios (semi-cuantitativo)

Si no hay historial, simulá escenarios "qué pasaría si..." y estimá probabilidad por consenso de expertos.

3. Benchmarks de industria

Asociación Bancaria, Asobancaria, gremios — publican estadísticas de incidentes AML, fraude, ciber. Útiles para sectores con poca historia interna.

Escala 1-5 con definiciones claras

NivelEtiquetaDefinición operativa
1RaroImprobable en 5 años, <5% probabilidad anual
2ImprobablePosible en 5 años, 5-25%
3PosibleEsperable en 1-2 años, 25-50%
4ProbableEsperable en el año, 50-80%
5Casi seguroOcurre mensual o trimestral, >80%

Impacto: 3 dimensiones para evaluar

  1. Económico — Pérdida monetaria directa + multa + costo de remediación.
  2. Reputacional — Pérdida de clientes, daño de marca, cobertura mediática.
  3. Operacional — Interrupción del negocio, pérdida de clientes, rotación de personal.

El impacto final es el máximo entre las tres dimensiones (no el promedio). Si un riesgo tiene impacto económico bajo pero reputacional crítico, queda como crítico.

Errores que invalidan tu matriz

  • Sin metodología documentada — la SFC pregunta "¿por qué este riesgo es probabilidad 4?".
  • Mezclar probabilidad e impacto — error frecuente con riesgos reputacionales.
  • Asignar "3" a todo para evitar discusiones — auditor lo detecta.
  • No actualizar con materializaciones — si un riesgo ocurrió, su probabilidad sube.
  • No considerar correlación — un riesgo materializa otros (un ciberincidente puede generar incumplimiento Habeas Data + SARLAFT).

¿Cómo te ayuda GRC Software?

El módulo de matriz incluye criterios precargados, justificación obligatoria de cada valor asignado, recalculación automática cuando se materializa un evento, y exportación a PDF con metodología incluida (lista para visita SFC).

Próximos pasos

  1. Lee Matriz SARLAFT paso a paso y Riesgo inherente vs residual.
  2. Empezá gratis: crear cuenta.

¿Listo para dejar de luchar con Excel?

Probá GRC Software gratis. Sin tarjeta. Activo en 5 minutos.