Evaluación de Riesgos: Cómo Identificar Vulnerabilidades en tu Empresa

La mayoría de las empresas en México implementan medidas de seguridad de forma reactiva: instalan cámaras después de un robo, contratan más guardias después de un incidente grave o actualizan protocolos solo cuando un cliente corporativo lo exige en auditoría. Este enfoque reactivo es consistentemente más costoso, menos efectivo y deja ventanas de vulnerabilidad abiertas durante meses o años antes de que se detecten.

La evaluación de riesgos invierte esta lógica. En lugar de esperar a que ocurra un incidente para descubrir una vulnerabilidad, la evaluación identifica proactivamente las debilidades antes de que sean explotadas. Es la diferencia entre pagar los costos de un siniestro y pagar una fracción de ese costo para prevenirlo.

El costo de no evaluar

Las empresas que operan sin una evaluación de riesgos documentada enfrentan consecuencias concretas y cuantificables:

• Inversiones mal dirigidas: Se gasta presupuesto en cámaras de alta definición en áreas de bajo riesgo mientras el perímetro trasero, que es por donde realmente ocurren los ingresos no autorizados, tiene solo una barda sin concertina y sin iluminación.
• Protocolos genéricos ineficaces: Los procedimientos de seguridad copiados de plantillas genéricas no responden a la realidad operativa de cada empresa. Un protocolo de acceso diseñado para un corporativo de oficinas no funciona en una planta industrial con 200 vehículos diarios.
• Personal sobrecargado o subutilizado: Sin saber dónde están los riesgos reales, es imposible asignar correctamente las posiciones de guardia, las frecuencias de rondín o los turnos prioritarios.
• Exposición legal: En caso de siniestro, la falta de una evaluación de riesgos documentada puede ser utilizada como evidencia de negligencia patronal, incrementando la exposición a demandas y reduciendo las posibilidades de cobro de seguros.

Cuándo realizar una evaluación de riesgos

No existe un requisito legal que establezca una frecuencia mínima obligatoria, pero las mejores prácticas del sector y los estándares internacionales como ISO 31000 e ISO 28000 recomiendan realizar una evaluación integral al menos una vez al año, con revisiones parciales cada trimestre. Adicionalmente, debe realizarse una evaluación extraordinaria cuando ocurra cualquiera de los siguientes eventos:

• Cambio de instalaciones o ampliación significativa del espacio operativo.
• Incorporación de nuevas líneas de negocio o almacenamiento de nuevos tipos de activos de alto valor.
• Incidente de seguridad grave que evidencie vulnerabilidades no identificadas previamente.
• Cambios significativos en el entorno: aumento de criminalidad en la zona, apertura de vías de acceso nuevas o cambio de uso de suelo en predios colindantes.
• Requerimiento de cliente corporativo, auditoría de certificación o exigencia contractual de un socio comercial.

Una evaluación de riesgos efectiva requiere un marco metodológico estructurado que garantice objetividad, exhaustividad y repetibilidad. Sin metodología, la evaluación se convierte en un recorrido informal donde se observa lo evidente y se omiten las vulnerabilidades que realmente importan.

El modelo CARVER adaptado a seguridad empresarial

El modelo CARVER, originalmente desarrollado para aplicaciones militares, se ha adaptado exitosamente al entorno de seguridad corporativa. Evalúa cada activo o área de la empresa según seis criterios que permiten priorizar dónde enfocar los recursos de protección:

• Criticidad (Criticality): ¿Qué tan importante es este activo o área para la operación del negocio? Si se compromete, ¿la empresa puede seguir operando normalmente?
• Accesibilidad (Accessibility): ¿Qué tan fácil es para un adversario acceder a este activo o área? ¿Cuántas barreras físicas y procedimentales debe superar?
• Recuperabilidad (Recuperability): Si el activo o área es comprometido, ¿cuánto tiempo y costo toma restaurar la operación normal?
• Vulnerabilidad (Vulnerability): ¿Qué tan expuesto está el activo o área a las amenazas identificadas? ¿Las medidas actuales son adecuadas?
• Efecto (Effect): ¿Cuál es el impacto total —financiero, operativo, reputacional, legal— si este activo o área es comprometido?
• Reconocibilidad (Recognizability): ¿Qué tan fácil es para un adversario identificar este activo como objetivo de valor? ¿Es obvio o requiere reconocimiento previo?

Fases de la evaluación

Independientemente del modelo específico utilizado, toda evaluación de riesgos de seguridad sigue cuatro fases secuenciales:

1. Fase 1 — Identificación: Inventario completo de activos, áreas, procesos y personas que requieren protección. Identificación del universo de amenazas aplicables al giro, ubicación y perfil de la empresa.
2. Fase 2 — Análisis: Evaluación detallada de cada amenaza contra cada activo: probabilidad de ocurrencia, impacto potencial, vulnerabilidades existentes y efectividad de los controles actuales.
3. Fase 3 — Evaluación y priorización: Clasificación de los riesgos en una matriz que permite visualizar cuáles requieren atención inmediata, cuáles pueden gestionarse a mediano plazo y cuáles son aceptables con los controles actuales.
4. Fase 4 — Tratamiento: Diseño de estrategias de mitigación para cada riesgo priorizado: eliminar, reducir, transferir (seguros) o aceptar con monitoreo.

Equipo evaluador

La evaluación no debe ser realizada exclusivamente por el departamento de seguridad. Para obtener una visión completa, el equipo evaluador debe incluir representantes de las áreas operativas, de TI, de recursos humanos y, idealmente, un consultor externo que aporte una perspectiva objetiva sin los sesgos inherentes de quienes trabajan diariamente en las instalaciones. Un supervisor de seguridad con formación en análisis de riesgos puede liderar el proceso interno y coordinar con los consultores externos cuando sea necesario.

La auditoría de seguridad física es el componente más tangible y visual de la evaluación de riesgos. Consiste en un recorrido metódico de las instalaciones para identificar vulnerabilidades en la infraestructura, los sistemas y los procedimientos de protección física.

Perímetro exterior

El perímetro es la primera línea de defensa. La auditoría debe evaluar:

• Bardas y cercas: Altura mínima recomendada de 2.5 metros. Verificar estado de conservación, presencia de concertina o alambrado en la parte superior, ausencia de puntos donde la barda esté dañada, rebajada o sea fácilmente escalable.
• Iluminación perimetral: Cobertura de todo el perímetro sin zonas oscuras. Las luminarias deben estar en funcionamiento, protegidas contra vandalismo y con respaldo de energía en caso de corte eléctrico.
• Vegetación: Árboles y arbustos cercanos al perímetro pueden facilitar el escalamiento o crear puntos ciegos para las cámaras. La poda debe mantener la visibilidad desde los puntos de vigilancia.
• Accesos vehiculares: Número, ubicación, tipo de barrera (plumas, bolardos, portones), velocidad de operación, respaldo manual en caso de falla eléctrica.
• Accesos peatonales: Torniquetes, lectores de credenciales, intercomunicadores, visibilidad desde la caseta de guardia.

Interior de las instalaciones

• Áreas restringidas: Verificar que cada área con activos de valor (servidores, almacenes, caja fuerte, farmacia, archivo) tenga control de acceso independiente, registro de ingresos y salidas, y que los controles funcionen correctamente.
• Sistemas de CCTV: Cobertura, calidad de imagen, iluminación en puntos monitoreados, capacidad de almacenamiento, acceso remoto, estado de funcionamiento de cada cámara. Identificar puntos ciegos no cubiertos y cámaras fuera de servicio.
• Alarmas: Tipo (intrusión, incendio, pánico), cobertura, tiempos de respuesta del monitoreo central, protocolos de verificación, mantenimiento preventivo y pruebas documentadas.
• Señalización: Rutas de evacuación visibles y actualizadas, señalización de áreas restringidas, identificación de puntos de reunión, ubicación de extintores y equipos de emergencia.
• Control de llaves y accesos: Inventario de llaves y tarjetas de acceso, protocolos de entrega y recuperación, registro de quién tiene acceso a qué áreas, procedimiento para dar de baja accesos de personal que ya no labora en la empresa.

Herramienta de registro

Cada hallazgo de la auditoría física debe documentarse con fotografías, ubicación precisa, descripción de la vulnerabilidad, nivel de severidad estimado y recomendación de corrección. Utiliza un formato estandarizado que permita comparar auditorías en diferentes fechas para medir progreso. Los supervisores de seguridad capacitados en evaluación de riesgos son quienes mejor pueden ejecutar estas auditorías de forma sistemática y documentada.

La infraestructura más sofisticada del mundo es inútil si el personal que la opera no tiene las competencias necesarias para utilizarla correctamente. La evaluación del personal de seguridad es un componente crítico del análisis de riesgos que muchas empresas subestiman o directamente omiten.

Competencias a evaluar

• Conocimiento del marco legal: ¿Los guardias saben cuáles son los límites legales de su actuación? ¿Conocen el concepto de uso proporcional de la fuerza? ¿Saben qué pueden y qué no pueden hacer ante diferentes escenarios?
• Dominio de protocolos: ¿Pueden ejecutar correctamente los protocolos de acceso, rondín, respuesta a alarma, atención de emergencias y reporte de novedades? No basta con que los conozcan teóricamente: deben poder ejecutarlos bajo presión.
• Habilidades de observación y reporte: ¿Los guardias identifican situaciones anómalas? ¿Sus reportes de novedad son descriptivos, precisos y oportunos, o son genéricos e incompletos?
• Primeros auxilios básicos: ¿Pueden administrar RCP, controlar una hemorragia, estabilizar una fractura o asistir a una persona en crisis médica mientras llegan los servicios de emergencia?
• Manejo de tecnología: ¿Saben operar el sistema de CCTV, los controles de acceso, las alarmas y los sistemas de comunicación? ¿Pueden generar reportes desde el sistema o requieren asistencia constante?
• Condición física: ¿El personal mantiene la condición física mínima necesaria para responder ante una emergencia que requiera esfuerzo físico sostenido: persecución a pie, evacuación de personas, manejo de extintor?

Métodos de evaluación

La evaluación del personal no se limita a un examen escrito. Los métodos más efectivos combinan diferentes técnicas:

• Observación directa en puesto: Un evaluador observa al guardia durante su turno sin previo aviso, documentando cómo ejecuta sus funciones, cómo responde a situaciones cotidianas y cómo registra las novedades del turno.
• Simulacros evaluados: Se plantean escenarios simulados (intento de ingreso no autorizado, emergencia médica, conato de incendio, situación de conflicto con visitante) y se evalúa la respuesta del personal en tiempo real.
• Evaluación de conocimientos: Exámenes escritos o entrevistas estructuradas que miden el dominio teórico de protocolos, marco legal y procedimientos de emergencia.
• Revisión de expedientes: Verificación de que cada elemento cuenta con constancia DC-3 STPS vigente, exámenes médicos actualizados y evaluaciones periódicas documentadas.

Brechas comunes que la evaluación revela

Las brechas más frecuentes que se detectan en la evaluación de personal de seguridad en empresas mexicanas incluyen:

• Guardias que no han recibido capacitación formal desde su contratación (a veces varios años atrás).
• Desconocimiento del uso correcto de extintores y rutas de evacuación en las instalaciones específicas donde operan.
• Reportes de novedad genéricos que no aportan información útil para la toma de decisiones.
• Incapacidad para operar correctamente los sistemas tecnológicos instalados (cámaras, alarmas, controles de acceso).
• Falta de criterio para el uso proporcional de la fuerza, con riesgo tanto de exceso como de omisión.

Cada brecha detectada se convierte en un insumo directo para el plan de capacitación. La evaluación de personal y la capacitación son dos caras de la misma moneda: no puedes capacitar efectivamente sin saber qué competencias faltan, y no puedes evaluar correctamente sin tener un estándar de competencias claramente definido.

La tecnología de seguridad es una inversión significativa que, mal implementada o mal mantenida, genera una falsa sensación de protección más peligrosa que no tener nada. La evaluación tecnológica identifica las brechas entre lo que la empresa cree que tiene cubierto y lo que realmente está protegido.

CCTV: más allá de las cámaras instaladas

El error más común es contar cámaras en lugar de evaluar cobertura efectiva. Una auditoría tecnológica de CCTV debe responder estas preguntas:

• ¿Cuántas cámaras están realmente en funcionamiento versus cuántas están instaladas?
• ¿La resolución de las cámaras permite identificar rostros a la distancia relevante para cada punto monitoreado?
• ¿Las cámaras exteriores tienen iluminación IR o complementaria suficiente para operar de noche?
• ¿Cuántos días de grabación almacena el DVR/NVR? ¿Es suficiente para investigar un incidente que se detecta días después?
• ¿Quién monitorea las cámaras en tiempo real? ¿Las 24 horas o solo en horario laboral? ¿Cuántas pantallas atiende un solo operador?
• ¿Existe acceso remoto al sistema? ¿Está protegido con contraseña robusta y autenticación de dos factores?

Control de acceso

Los sistemas de control de acceso son tan efectivos como su gestión diaria. La evaluación debe cubrir:

• ¿Se dan de baja inmediatamente los accesos de personal que deja de laborar en la empresa, o hay un retraso de días o semanas?
• ¿El sistema registra cada evento de acceso con hora, fecha e identificación del usuario?
• ¿Las credenciales o tarjetas son personales e intransferibles, o se comparten habitualmente?
• ¿Existe un procedimiento de acceso de emergencia cuando el sistema falla?
• ¿Se revisan periódicamente los registros de acceso para detectar patrones anómalos?

Sistemas de alarma

• ¿Las alarmas de intrusión cubren todas las ventanas, puertas y accesos vulnerables del perímetro?
• ¿Se realizan pruebas periódicas documentadas del sistema de alarma?
• ¿Cuál es el tiempo de respuesta del centro de monitoreo ante una activación? ¿Está dentro del estándar del sector (menos de 60 segundos para verificación)?
• ¿El sistema tiene respaldo de energía en caso de corte eléctrico? ¿Cuántas horas de autonomía ofrece?

Comunicaciones

La comunicación entre el personal de seguridad es el eslabón que conecta la detección con la respuesta. Si falla la comunicación, falla toda la cadena de seguridad:

• ¿Los radios tienen cobertura en todas las áreas de las instalaciones, incluyendo sótanos, bodegas y áreas exteriores?
• ¿Existe un canal de emergencia dedicado que no se sature con comunicación operativa rutinaria?
• ¿Hay un sistema de respaldo si los radios principales fallan?
• ¿Los guardias han sido capacitados en comunicación por radio con protocolos claros de identificación y transmisión?

La evaluación tecnológica no requiere que el evaluador sea un ingeniero en telecomunicaciones. Un supervisor de seguridad bien capacitado puede identificar la mayoría de estas brechas con un recorrido estructurado y un checklist adecuado. Para evaluaciones más profundas de redes, ciberseguridad o sistemas integrados, sí es recomendable contratar un especialista.

La evaluación de riesgos no se limita a mirar hacia adentro de las instalaciones. Debe incluir un análisis del entorno externo que considere las amenazas reales y potenciales que enfrenta la empresa según su ubicación, giro comercial, perfil de clientes y contexto de seguridad de la zona donde opera.

Amenazas por tipo

• Amenazas delictivas: Robo a instalaciones, robo a empleados en el perímetro exterior, asalto a transporte de valores o mercancía, extorsión, secuestro de ejecutivos, vandalismo, robo de vehículos en estacionamiento.
• Amenazas internas: Robo hormiga por personal propio, sabotaje, fuga de información confidencial, complicidad interna con delincuentes externos, acoso laboral que escala a violencia.
• Amenazas naturales: Sismos, inundaciones, incendios forestales, huracanes, hundimientos. La ubicación geográfica determina cuáles son relevantes y con qué probabilidad.
• Amenazas tecnológicas: Fallo de sistemas de seguridad, ciberataques a sistemas de control de acceso o CCTV, cortes de energía prolongados, fallo de comunicaciones.
• Amenazas sociales: Manifestaciones que bloquean accesos, bloqueos de vías de comunicación, conflictos laborales que escalan, presencia de grupos delictivos en la zona.

Fuentes de inteligencia para el análisis

Un análisis de amenazas serio no se basa en percepciones subjetivas ni en noticias sensacionalistas. Utiliza fuentes de información verificables:

• Estadísticas delictivas del Secretariado Ejecutivo del Sistema Nacional de Seguridad Pública (SESNSP) por municipio y tipo de delito.
• Reportes de incidentes propios de la empresa en los últimos 12 a 24 meses.
• Información de cámaras de comercio locales y asociaciones empresariales del sector sobre incidencia delictiva en la zona.
• Atlas de riesgos municipal de protección civil para amenazas naturales.
• Entrevistas con personal operativo que transita la zona diariamente y conoce la dinámica local.

Análisis de tendencias

Más allá del panorama actual, la evaluación debe considerar las tendencias que podrían modificar el perfil de riesgo de la empresa en el mediano plazo: incremento o decremento de ciertos delitos en la zona, desarrollo urbano que cambia la dinámica del entorno, cambios en las rutas de transporte que afectan la logística de la empresa, o evolución de los modus operandi de los delincuentes en el sector específico donde opera la organización.

El resultado de este análisis es un mapa de amenazas priorizado que alimenta directamente la matriz de riesgos. Sin este insumo, la matriz se construye sobre suposiciones y no sobre evidencia.

La matriz de riesgos es la herramienta que convierte la información recopilada en las fases anteriores en un mapa visual de prioridades. Es el instrumento que permite a la dirección de la empresa tomar decisiones de inversión en seguridad basadas en datos y no en percepciones subjetivas o en el último susto que se tuvo.

Estructura de la matriz

La matriz clasifica cada riesgo identificado según dos ejes:

• Probabilidad de ocurrencia: Basada en datos históricos, estadísticas delictivas y análisis del entorno. Se clasifica en niveles: muy baja, baja, media, alta, muy alta.
• Impacto potencial: Considerando consecuencias financieras, operativas, legales y reputacionales. Se clasifica igualmente en niveles de 1 a 5.

Ejemplo de matriz para empresa mediana

Riesgo identificado	Probabilidad (1-5)	Impacto (1-5)	Nivel de riesgo	Prioridad de atención
Robo hormiga por personal interno	4 - Alta	3 - Medio	12 - Alto	Inmediata
Intrusión por perímetro trasero sin iluminación	3 - Media	4 - Alto	12 - Alto	Inmediata
Fallo del sistema de CCTV sin respaldo	3 - Media	3 - Medio	9 - Medio-alto	Corto plazo (30 días)
Personal de seguridad sin capacitación actualizada	4 - Alta	4 - Alto	16 - Crítico	Inmediata
Asalto a empleados en estacionamiento exterior	2 - Baja	4 - Alto	8 - Medio	Mediano plazo (90 días)
Sismo de magnitud significativa	2 - Baja	5 - Muy alto	10 - Medio-alto	Corto plazo (preparación)
Ciberataque a sistema de control de acceso	2 - Baja	3 - Medio	6 - Medio-bajo	Mediano plazo
Corte de energía prolongado (más de 4 horas)	3 - Media	2 - Bajo	6 - Medio-bajo	Mediano plazo

Interpretación y uso de la matriz

El nivel de riesgo se calcula multiplicando probabilidad por impacto. Los riesgos se clasifican en cuatro zonas de acción:

• Zona crítica (15-25): Riesgos que requieren atención inmediata con inversión prioritaria. Si un riesgo está en esta zona y no hay plan de mitigación, la empresa opera con una exposición inaceptable.
• Zona alta (10-14): Riesgos que deben atenderse en el corto plazo (30-60 días) con acciones concretas y presupuesto asignado.
• Zona media (5-9): Riesgos gestionables a mediano plazo (90-180 días) con controles existentes reforzados y monitoreo periódico.
• Zona baja (1-4): Riesgos aceptables con los controles actuales. Se monitorean periódicamente para detectar cambios en probabilidad o impacto.

La matriz no es un documento estático: debe revisarse y actualizarse cada trimestre o cada vez que un evento significativo modifique las condiciones del entorno. Los riesgos cambian, y la matriz debe reflejar esos cambios para seguir siendo útil como herramienta de gestión.

Identificar los riesgos sin diseñar estrategias de mitigación es un ejercicio académico sin valor práctico. Para cada riesgo priorizado en la matriz, debe definirse una estrategia de tratamiento que sea factible dentro del presupuesto y la realidad operativa de la empresa.

Las cuatro estrategias de tratamiento

• Eliminar: Remover la fuente del riesgo por completo. Ejemplo: cerrar un acceso secundario que solo se usa ocasionalmente y que genera un punto de vulnerabilidad permanente.
• Reducir: Implementar controles que disminuyan la probabilidad de ocurrencia o el impacto del riesgo. Ejemplo: instalar iluminación en el perímetro trasero para reducir la probabilidad de intrusión nocturna.
• Transferir: Trasladar el impacto financiero del riesgo a un tercero. La herramienta principal es el seguro, pero también incluye contratos con empresas de monitoreo o custodia que asumen responsabilidad sobre ciertos riesgos.
• Aceptar: Decidir conscientemente que el riesgo es tolerable con los controles existentes y que el costo de mitigación supera el beneficio esperado. La aceptación debe ser una decisión documentada e informada, no una omisión por desconocimiento.

Mitigación basada en capas

La seguridad efectiva opera por capas. Ningún control individual es infalible, pero la combinación de múltiples capas de protección crea un sistema resiliente donde la falla de un componente no compromete toda la seguridad de la empresa:

• Capa 1 — Disuasión: Iluminación, señalización de videovigilancia, presencia visible de personal de seguridad, bardas y concertinas.
• Capa 2 — Detección: Cámaras de CCTV, sensores de movimiento, alarmas de intrusión, rondines programados.
• Capa 3 — Demora: Cerraduras, puertas reforzadas, torniquetes, barreras vehiculares que retrasan al adversario y dan tiempo de respuesta.
• Capa 4 — Respuesta: Personal de seguridad capacitado que interviene, protocolos de emergencia, comunicación con autoridades externas.
• Capa 5 — Recuperación: Procedimientos post-incidente, preservación de evidencia, continuidad de operaciones, respaldo de información.

El factor humano como estrategia de mitigación

La capacitación del personal de seguridad es, en sí misma, una de las estrategias de mitigación más efectivas y con mejor relación costo-beneficio. Un guardia bien capacitado compensa parcialmente las deficiencias de la infraestructura; un guardia sin capacitación anula las inversiones más sofisticadas en tecnología. La evaluación de riesgos debe identificar las brechas de competencia del personal y traducirlas en un plan de capacitación priorizado que ataque primero las habilidades más críticas para la mitigación de los riesgos de mayor prioridad.

El informe de evaluación de riesgos es el producto entregable que convierte todo el trabajo de análisis en un documento accionable para la dirección de la empresa. Un informe mal estructurado o excesivamente técnico será ignorado; un informe claro, conciso y orientado a la acción será la base del presupuesto de seguridad del próximo año.

Estructura recomendada del informe

1. Resumen ejecutivo (1-2 páginas): Los hallazgos más críticos, las tres o cinco recomendaciones prioritarias y una estimación de la inversión necesaria para atenderlas. Esta sección es la que leerán los directivos que no tienen tiempo para el informe completo.
2. Metodología utilizada: Descripción del marco de evaluación, las herramientas utilizadas, las áreas evaluadas y el equipo que realizó el trabajo. Esto le da credibilidad al informe y permite reproducir la evaluación en el futuro.
3. Hallazgos detallados por área: Cada hallazgo documentado con evidencia fotográfica, descripción de la vulnerabilidad, nivel de riesgo asignado y recomendación específica de corrección.
4. Matriz de riesgos completa: Con todos los riesgos clasificados por probabilidad e impacto, incluyendo tanto los riesgos que ya están controlados como los que requieren acción.
5. Plan de mitigación priorizado: Cada recomendación con responsable asignado, plazo sugerido, inversión estimada y beneficio esperado. Organizado en tres horizontes: inmediato (0-30 días), corto plazo (30-90 días) y mediano plazo (90-365 días).
6. Análisis de inversión: Comparación entre el costo de implementar las recomendaciones y el costo estimado de los riesgos que se mitigan. Esto facilita la aprobación presupuestal por parte de la dirección financiera.
7. Anexos: Fotografías, planos marcados con vulnerabilidades, registros de pruebas de sistemas, resultados de evaluaciones de personal, referencias normativas.

Presentación a la dirección

El informe escrito es necesario, pero no suficiente. Programa una presentación de 30 a 45 minutos con la dirección donde se expliquen los hallazgos más críticos con apoyo visual (fotografías de las vulnerabilidades, la matriz de riesgos simplificada y el análisis de inversión). Los directivos necesitan entender tres cosas: qué riesgos enfrenta la empresa, cuánto cuesta mitigarlos y cuánto puede costar no hacerlo.

Seguimiento y actualización

El informe debe incluir un calendario de seguimiento con fechas específicas para verificar el avance en la implementación de las recomendaciones. Una evaluación que se entrega, se archiva y no se da seguimiento no tiene ningún impacto real en la seguridad de la empresa. El seguimiento trimestral de los avances, con una actualización de la matriz de riesgos que refleje las mejoras implementadas, cierra el ciclo y demuestra el valor de la inversión en el proceso de evaluación.

La capacidad de realizar evaluaciones de riesgos rigurosas es una de las competencias que distingue a un supervisor de seguridad profesional de un guardia con más antigüedad. Si tu equipo de seguridad no tiene esta capacidad internamente, invertir en formarla es una de las decisiones de mayor impacto que puedes tomar para la protección de tu empresa.