Mapa de riesgos térmicos
1) Propósito y valor
La tarjeta de riesgo térmico (Risk Heatmap) es una herramienta visual para clasificar y comunicar riesgos por matriz de probabilidad × impacto, vinculada a controles, métricas y planes de acción.
Objetivos:- un único lenguaje de priorización (empresas, aquellas, bloques legales);
- decisiones transparentes sobre la PAC/inversiones;
- seguimiento de la dinámica (antes/después de las medidas), preparación «audit-ready».
2) Taxonomía y área de cobertura
Dominios recomendados:- Regulaciones/Licencias, Privacidad/Datos, IB/Procesos, Pagos/AML/KYC, Operaciones/Disponibilidad, Marketing/Publicidad Responsable, Proveedores/VRM.
- Jurisdicciones/Mercados, Líneas de Negocio/Productos, Servicios/Plataformas, Proveedores Críticos.
3) Escalas de probabilidad e influencia
3. 1 Probabilidad (ejemplo de escala de 5 niveles)
1. Raramente (una vez cada> 3 años/p <5%)
2. Baja (una vez cada 1-3 años)
3. Promedio (anual)
4. Alto (trimestral)
5. Muy alto (mensual/más frecuente)
3. 2 Impacto (multifactorial)
Evalúe según el máximo de los criterios:- Finanzas: pérdidas directas/multas/chargeback.
- Licencias/Consecuencias legales: suspensión, prohibiciones, investigaciones.
- Privacidad/Datos: volumen de PII, notificaciones, acciones de supervisión.
- Operaciones/Aptime: MTTR, SLO, lanzamientos frustrados, RTO/RPO.
- Reputación: medios de comunicación, redes sociales, sanciones de pareja.
- Escala 1-5 con umbrales claros (por ejemplo, 1: <10k €, 5:> 1m €).
4) Puntuación y niveles de riesgo
Riesgo individual: 'Score = Likelihood × Impact' (1-25).
Categorías:- 20-25 - Crítico (rojo)
- 12-19 - Alta (naranja)
- 6-11 - Medium (amarillo)
- 1-5 - Bajo (verde)
- Riesgo residual: una vez contabilizados los controles actuales (eficacia confirmada por ToD/ToE/CCM).
- Riesgo objetivo (Target): después de las medidas previstas; se fija la fecha de logro.
5) Fuentes de datos y relación con los controles
Registro GRC: descripciones de riesgos, propietarios, evaluaciones actuales/específicas.
SSM/métricas: reglas de control pass-rate, incidentes, KRI.
Vendedores/VRM: certificados, SLA, incidentes, cambios en las ubicaciones de datos.
Finanzas/Pagos: multas, chargeback ratio, fraud loss%.
Todos los valores que afectan a las escalas deben tener enlaces de alerta (registros/informes) y temporizadores.
6) Agregación y consolidación
Bottom-up: de servicios/jurisdicciones a dominios y empresas.
Reglas de agregación: máximo por Impacto, percentil por Likelihood, o mediana ponderada (por volumen de negocio).
Capas individuales (layers): Inherent (sin controles), Residual (con controles), Target (después de CAPA).
Comparta los riesgos correlativos (por ejemplo, vulnerabilidad general a la infraestructura) e independientes.
7) Visualización
Matriz 5 × 5 codificada por color; puntos de riesgo interactivos con tarjetas emergentes (descripción, propietario, controles, CAPA).
Interruptores de capa: Inherent/Residencial/Target.
Filtros: jurisdicción, producto, dominio, proveedor, período.
Tendencias «antes/después» de las medidas y «deriva» (drift) en 30-90 días.
8) Roles y RACI
9) KRI y umbrales de escalamiento
Ejemplos de KRI (vincular a los riesgos en la tarjeta):- Privacidad: dsar_response_p95, eliminación por TTL, quejas/ombudsman.
- Seguridad: vulnerabilidades p95 TTR, proporción de reglas críticas «rojas» CCM, infracciones SoD.
- Pagos: chargeback ratio, fraud loss%, ganar-rating apelaciones.
- Operaciones: SLO breach rate, incidentes p1/p2, pruebas de RTO/RPO.
- Escaladas: Amber al salir de los umbrales de advertencia, Red es un CAPA obligatorio y «stop-the-line» para las zonas críticas.
10) Toma de decisiones y enlace con CAPA
Para cada punto «rojo» es obligatorio un plan de acción: Correctivo/Preventivo, propietario, plazo, presupuesto, KPI de éxito.
Reglas de umbral (ejemplo):- Crítica: CAPA ≤ 30 días, re-auditar en 60-90 días; comité semanal.
- Alta: CAPA ≤ 60 días, observación 90 días.
- Medium/Low: en el plan trimestral/semestral.
- Si no es posible reducir - waiver con fecha de caducidad y controles compensatorios.
11) Dashboards (mínimo)
Heatmap View: matriz actual + capas Residual/Target.
Risk Trend: dinámica de puntos, «antes/después de CAPA».
Controls Linkage: CCM pass-rate por riesgo, «red» gates.
Regulatory Exposure: riesgos por jurisdicciones y licencias.
Vendor Risk: tarjeta térmica de proveedores críticos (certificados, SLA, incidentes).
Audit-Readiness: comprobación completa/recibos de riesgo hash.
12) Métricas de eficacia
Índice de reducción de riesgos: ∆ de un promedio ponderado de riesgo por trimestre.
CAPA en tiempo:% de las medidas a tiempo (por severity).
Repeat Findings (12 meses): proporción de repeticiones sobre riesgos asociados.
Evidence Completeness:% de riesgos con un paquete completo de pruebas.
Drift After Fix: casos de retorno a la zona «roja» 30-90 días después.
Coverage: la proporción de activos comerciales/jurisdicciones reflejadas en el mapa.
13) SOP (procedimientos estándar)
SOP-1: Inicialización de la técnica
Definir escalas y umbrales → acordar en el Comité → fijar en el repositorio (versionar).
SOP-2: Ciclo trimestral
Recolección de insumos/KRI → recuento de estimaciones → rugido por parte de los propietarios → decisiones del comité → publicación de dashboards → exportación de «audit pack».
SOP-3: Incidente desencadenante
En un incidente Crítico/Alto, una actualización no programada del mapa, un enlace a CAPA y un plan de re-auditoría.
SOP-4: Bucle Vendor
Encuesta/certificados VRM → actualización de riesgos de proveedores → confirmación de medidas de espejo (Vendor Mirror).
SOP-5: Archivo y pruebas
Snapshots heatmap (PDF/PNG/CSV) + recibos hash → archivo WORM → enlaces en GRC.
14) Patrones de artefactos
14. 1 Tarjeta de riesgo (fragmento)
ID/Nombre, propietario, dominio/jurisdicción
Likelihood/Impact/Inherent/Residual/Target
Controles (ID, métricas, reglas CCM)
KRI y valores reales
CAPA/waivers, fechas, presupuesto, KPI
Evidence-links y recibos hash
14. 2 Política de escala (extracto)
Likelihood:
1: p<5% / >3y
3: annual
5: monthly+
Impact (finance):
1: <€10k
3: €100k–€300k
5: >€1m
Escalation:
Critical: CAPA≤30d; Committee weekly
High: CAPA≤60d; Committee bi-weekly14. 3 Informe «antes/después»
Capturas de pantalla heatmap (Residencial vs Target)
Tabla de cambios ∆ por riesgo
Ejecutadas por CAPA, métricas de estabilidad
15) Antipattern
«Imagen hermosa» sin referencia a controles/KRI y CAPA.
Las escalas borrosas → la manipulación de las estimaciones.
Falta de versionamiento/evidencia de cambios en las puntuaciones.
Resumen de riesgos incomparables sin reglas de agregación.
Las raras actualizaciones → la tarjeta no reflejan la realidad.
Waivers sin plazos y medidas compensatorias.
16) Modelo de madurez (M0-M4)
M0 Ad-hoc: imagen única, sin métodos/métricas.
M1 Planificado: escalas acordadas, actualizaciones trimestrales.
M2 Manejable: ligamento con controles/KRI, CAPA, dashboards, archivo WORM.
M3 Integrado: recuento automático (CCM), policy-/assurance-as-code, cortes por jurisdicciones/vendedores.
M4 Continuous Assurance: KRI predictivo, modelado de escenarios, «what-if», recomendaciones de prioridades.
17) Artículos relacionados wiki
Auditoría orientada al riesgo (RBA)
KPI y métricas de cumplimiento
Monitoreo continuo de cumplimiento (CCM)
Planes de reparación de infracciones (CAPA)
Auditorías repetidas y control de ejecución
Repositorio de políticas y normas
Hoja de ruta del cumplimiento
Guía de cumplimiento para socios/VRM
El mapa térmico de riesgos no es un informe, sino un mecanismo de gestión: escalas únicas, comunicación con controles y KRI, actualizaciones periódicas, soluciones probadas y control de sostenibilidad después de las medidas. Este enfoque hace que la priorización sea objetiva, acelera las decisiones del comité y mantiene una disposición «audit-ready» constante.