Volver al blog
Gestión de Riesgos

Riesgo inherente vs residual: la diferencia crítica que la SFC audita

Confundir riesgo inherente y residual es el #1 problema en visitas regulatorias. Aprende la diferencia, cómo calcularlos y por qué importa.

Publicado 8 de julio de 20265 min de lecturaActualizado 27 de jun de 2026

Una matriz de riesgo SIN cálculo de riesgo residual no cumple con la Circular Básica Jurídica de la SFC. Es la primera observación que recibe el 80% de las entidades en visitas. Acá te explicamos la diferencia y cómo calcular ambos.

Riesgo inherente: cómo viene "de fábrica"

El riesgo inherente es el nivel de exposición antes de aplicar cualquier control. Es la probabilidad × impacto sin considerar mitigantes. Refleja "qué tan riesgoso sería este escenario si no hiciéramos nada".

Riesgo residual: lo que queda después de los controles

El riesgo residual es la exposición después de aplicar los controles preventivos y detectivos. Refleja "qué tan riesgoso sigue siendo con todo lo que hacemos hoy".

La fórmula

Riesgo residual = Riesgo inherente × (1 - efectividad del control)

Ejemplo:

  • Riesgo inherente "Cliente PEP no detectado" → Probabilidad 4, Impacto 5, Score 20
  • Control: Consulta automática diaria contra Decreto 1674 → efectividad 90%
  • Riesgo residual: 20 × (1 - 0.90) = 2 (verde)

Por qué importa

  • La SFC quiere ver que vos conocés tu nivel real de exposición (residual), no solo el teórico (inherente).
  • Si el residual sigue rojo, necesitás controles adicionales o aceptación consciente con aprobación de Junta.
  • El residual define dónde priorizás tu inversión en mitigantes.

Errores comunes

  • Solo calcular inherente — falla el primer punto de auditoría.
  • Efectividad de control sobreestimada — "100% efectivo" rara vez es realista.
  • No medir efectividad real — debe basarse en métricas (falsos positivos, falsos negativos, tiempo de detección).
  • No actualizar residual cuando un control falla.

¿Cómo medir efectividad de control?

  • Pruebas de cumplimiento — muestreo aleatorio para verificar que el control se ejecutó.
  • Pruebas de diseño — el control teóricamente cubre el riesgo identificado.
  • Métricas operativas — alertas generadas, ROS reportados, tiempo promedio de respuesta.
  • Auditoría interna anual — verifica que los controles funcionan como se diseñaron.

¿Cómo te ayuda GRC Software?

El sistema calcula automáticamente riesgo residual al asignar controles. Mide efectividad de cada control con métricas operativas (tiempos, falsos positivos). Genera reporte para Junta con inherente vs residual visualizado.

Próximos pasos

  1. Lee Matriz SARLAFT paso a paso.
  2. Empezá gratis: crear cuenta.

¿Listo para dejar de luchar con Excel?

Probá GRC Software gratis. Sin tarjeta. Activo en 5 minutos.