Por César A. Duque A.

Director General y CEO de CD&A Consultores de Riesgos & Continuidad SAS

Consecuencia
vs
Impacto “¿Parecidos pero
Distintos?”
Cuando no todos dicen las cosas de la misma manera
La mayoría de nosotros al preguntar sobre dos hechos o conceptos cuyo significado es confuso, hemos escuchado de
manera irónica expresiones como “Iguales, pero… diferentes” o “parecidos, pero… distintos”, que al final incrementan
nuestras dudas iniciales. En la gestión de riesgos y la continuidad del negocio con frecuencia nos enfrentamos a
situaciones de esta naturaleza que nos generan cierta incomodidad al aplicar las diversas metodologías o modelos
disponibles en el mercado. Una de las más frecuentes se relaciona con la dicotomía de los efectos asociados a los riesgos,
cuyas acepciones de CONSECUENCIA e IMPACTO muestran enfoques que van desde considerarlas sinónimas hasta
aquellos en donde claramente representan conceptos distintos, aunque relacionados, incluyendo en muchos casos
definiciones genéricas y difusas que dificultan su utilización.
En el caso de los dos términos antes mencionados resulta de vital importancia tener claridad de cómo entenderlos y
aplicarlos, dado que ellos hacen parte de la esencia misma del concepto de RIESGO, del cual se derivan los enfoques para
su gestión. En el presente documento haremos algunas consideraciones y precisiones y expresaremos nuestra personal
opinión sobre su uso en la gestión de los riesgos empresariales y la continuidad de los negocios.

Como lo hemos hecho en documentos anteriores, abordaremos en tema analizando los GLOSARIOS de las instituciones y
organizaciones de mayor uso y reconocimiento a nivel internacional, ya sea porque son líderes en la emisión de normas
técnicas o en el campo académico del estudio y conceptualización sobre las diversas disciplinas asociadas al riesgo1.

A continuación, trataremos de analizar, en el contexto de las normas y buenas prácticas utilizadas en gestión de riesgos,
dónde “encajan” los términos objeto del presente documento y cuál es su utilidad.

1
Los Glosarios consultados corresponden a las siguientes organizaciones: International Organization for Standardization ISO (Normas ISO-IEC 73 :
Vocabulario en Gestión de Riesgos 2009, ISO 31000: Gestión de Riesgos – Directrices 2018, ISO 22300: Seguridad y Resiliencia – Vocabulario 2021, ISO
27000: Tecnología de la información - Técnicas de seguridad - Sistemas de seguridad de la información - Descripción general y vocabulario 2018); Society
of Risk Analysis SRA (SRA Glossary-2018) ; Deparment of Homeland Security DHS (DHS Risk Lexicon-2017); National Fire Protection Association NFPA
(NFPA Glossary of Terms-2019); Business Continuity Institute BCI (Glossary of Business Continuity Terms-2017); DRI International (International Glossary
for Resiliency-2018); Information Systems Audit and Control Association ISACA (ISACA Online Glossary of Terms-2021); Committee of Sponsoring
Organizations of the Treadway Commission COSO (COSO ERM-2017).

Página 1 de 7 - “CONSECUENCIAS vs IMPACTOS: ¿Iguales pero diferentes?”. Abril 2021

Servicio de Información CD&A Consultores de Riesgos & Continuidad SAS

La tendencia de simplificar las normas que termina complicando su aplicación

Siguiendo sus modelos de normalización adoptados, las principales organizaciones propenden – mediante procesos
cíclicos de revisión – a la actualización y optimización de sus documentos. En los últimos años ha sido común encontrar en
la sección introductoria de muchos de ellos la explicación respecto a que los cambios incorporados buscan hacerlo más
compacto y sencillo para simplificar su uso; el resultado son normas que han reducido sustancialmente la extensión del
documento. Aunque este esfuerzo es a todas luces loable, se ha reflejado en que el aparte que incluye el Glosario o
Terminología aplicable a la norma, que es clave para entender su contenido y orientar sobre su implantación, también se
ha recortado, bajo el supuesto que posiblemente el lector entiende los significado de TODOS los términos mencionados en
el documento, o en su defecto, que tiene acceso claro a las fuentes de información especializadas, o en último caso, que
haga uso del “libre albedrío” para que, según su experiencia, determine el significado que quiera darle a cada expresión,
muchas veces acudiendo a las definiciones contenidas en los diccionarios de su respectivo idioma.
Es necesario entender el entorno normativo y cuáles son las condiciones que influyen sobre él. Podemos citar al menos
seis situaciones que explican la dificultad y confusión al momento de tratar de determinar la acepción asociada a una
palabra en un contexto especializado: a) Pese a los esfuerzos, no existe en la actualidad (y creo que tomará todavía mucho
tiempo en lograrse), un GLOSARIO UNIFICADO para las disciplinas relacionadas con el riesgo; b) Los modelos de gestión de
riesgos son “ad hoc” y por ello su contenido – incluyendo su terminología – está determinado tanto por los intereses de su
grupo de usuarios, como por las costumbres y raíces de estos (Sesgo de origen); c) Al no haberse estructurado o adoptado
un “modelo conceptual” sobre el proceso del riesgo, o porque se busca ampliar las opciones de uso de la norma o de los
conceptos, las definiciones de términos claves se presentan de una manera abierta y genérica, y por lo tanto AMBIGUA; d)
El uso difundido de los significados de palabras en un idioma tiende a variar según el lugar, dando origen a regionalismos,
muchos de ellos con acepciones no solo diferentes, sino en algunos casos opuestas; e) Debido a la fuente de las
investigaciones y modelos desarrollados, en muchos casos es necesario traducir una palabra de un idioma a otro, y suele
encontrarse que en el idioma de destino no existen suficientes términos para mostrar las diferencias de origen. Un
ejemplo de ello son los términos Safety y Security que no tienen traducción diferencial al español2. f) Los diccionarios de
cada lengua no incorporan de manera oportuna las acepciones desarrolladas y relacionadas con la investigación
especializada y por ello no siempre reflejan el “estado del arte” de una disciplina. Como ejemplo de esto, en el gráfico No
1 tomado de la plataforma ENCLAVE® de la Real Academia de la Lengua Española, puede verse como la acepción de la
palabra SEGURO (1) se ha mantenido sin modificación por cerca de 250 años (2), desde la versión del DRAE® de 1780 (3), a
pesar de no ser precisamente la definición aceptada y utilizada actualmente en la gestión de riesgos.

CD&A SAS – Colombia – Derechos Reservados ® 2021

Prohibida su reproducción sin autorización del Autor

Gráfico No 1: Ejemplo de evolución del significado de la palabra SEGURO

2
Según consultas en Google® y en Wikipedia®, mientras el idioma inglés presenta al menos cerca de 700.000 palabras, el español solo cerca de 100.000

Página 2 de 7 - “CONSECUENCIA vs IMPACTO: ¿Parecidos pero distintos?”. Abril 2021

Servicio de Información CD&A Consultores de Riesgos & Continuidad SAS

El panorama descrito en el campo de las normas técnicas y documentos de disciplinas especializadas en riesgos hace
necesario que todos aquellos términos que en el contexto de una disciplina específica tengan un significado diferente al
incorporado en el diccionario de la lengua o a la costumbre, o que el significado que quiera dársele no coincide con el de
otras normas o disciplinas asociadas, deben ser definidos de manera específica. Las definiciones deben cumplir con unos
requerimientos mínimos: que sean lógicas, precisas, completas, comprensibles y diferenciables respecto a otros términos
con los cuales puedan confundirse, además de que no incorporen en la definición cualitativa las métricas utilizadas para su
cuantificación.

Proceso del RIESGO desde la óptica de una entidad “interesada”

De manera amplia, podemos describir que la Gestión de Riesgos es la disciplina que se encarga de conocer los riesgos
propios o asociados al funcionamiento de una Entidad y según la gravedad potencial que estos puedan tener para los
intereses y/o valores de ella, adoptar las que consideren ser las mejores estrategias y medidas para su intervención o
control, en función de una meta u objetivo que se quiera alcanzar3. Independientemente de cualquier definición que
pueda hacerse, todo gira alrededor del concepto RIESGO. Es por esto por lo que dependiendo del sentido que le demos a
este concepto, dependerá el enfoque para su gestión.
Como punto de partida, consideramos el RIESGO como un proceso “causa-efecto” en el cual hay un origen, unos hechos y
unos efectos derivados de la potencial materialización de estos. El proceso estará relacionado con un ESCENARIO de
referencia y los ACTORES interesados en él. Cada escenario se relaciona con un hecho en particular en el cual estarían
involucrados múltiples “activos”. Para el propósito de este artículo, nos centraremos en la parte final del proceso, o sea
en los posibles resultados si el evento posible llegara a suceder

Cada escenario estará enmarcado en un entorno físico, económico, político, comercial, etc. y su configuración incorpora
un conjunto de activos/valores tal como personas, procesos, equipos, materiales, información, medio ambiente (fuentes
de agua, aire, terrenos), etc. La interacción entre los elementos del entorno o de estos con los activos, o de los activos
entre sí, generan la posibilidad de un evento no deseado con la potencial capacidad de afectar en mayor o menor grado al
entorno y a los activos involucrados en el escenario, en función de sus fortalezas o debilidades (Vulnerabilidades) y del
nivel de exposición.

Para cada uno de los escenarios considerados habrá uno o más actores interesados en el: Empresas, proveedores,
inversionistas, autoridades de control, medios de comunicación, ONG ambientalistas o de derechos humanos, sindicatos,
comunidades, competidores, etc. Cada actor interesado podrá tener diferentes valores o intereses a defender respecto a
lo que pueda suceder en el escenario, independientemente de si dicho escenario sea o no parte de su estructura u
operación; estos valores podrán ser comerciales, humanos, económicos, operacionales, ambientales, reputacionales, etc.
De manera adicional cada interesado tendrá su propia visión del riesgo asociado al escenario, así como el modelo para
evaluarlo y gestionarlo (Véase el Gráfico No 2 en la página siguiente).
Como puede verse en el modelo anterior, el o los eventos que se generen pueden tener dos categorías de EFECTOS: a)
dentro del escenario, sobre el entorno y los activos involucrados en él, y, b) sobre los intereses o valores de los actores
interesados; el segundo estará condicionado por el primero. La diferencia entre estos efectos es que aquellos que se dan
al interior del escenario son resultados “objetivos” independientes de los interesados (2 muertos, US$ 15 millones de

CD&A SAS – Colombia – Derechos Reservados ® 2021

Prohibida su reproducción sin autorización del Autor
pérdidas, 3 hectáreas contaminadas, etc.), mientras los que se dan sobre los actores interesados son “subjetivos” y
dependerán de la importancia y valor relativo de los intereses o valores afectados para cada uno de ellos. El mismo
resultado “objetivo” del escenario “X” podrá afectar de diferente manera a los actores interesados: US$ 15 millones de
pérdidas podrá ser mucho para el actor “1” y muy poco para el “2”.
Dado que lo que podemos decir o medir en cada una de las categorías corresponden a mediciones distintas, suena lógico
que deban catalogarse como dos conceptos diferentes: efectos “objetivos” sobre los componentes del escenario y efectos
“subjetivos” sobre los intereses de los actores. Queda abierta una discusión sobre si los efectos sobre los intereses de los
actores se consideran parte del riesgo, o, por el contrario, no lo son y se derivan del riesgo.
Ahora bien, entraremos a analizar las posibles acepciones que suelen dárseles a cada uno de ellos en el ámbito de la
gestión de riesgos en diferentes disciplinas, y las implicaciones que ello podría tener.

3
El texto en cursiva es una aproximación del autor

Página 3 de 7 - “CONSECUENCIA vs IMPACTO: ¿Parecidos pero distintos?”. Abril 2021

Servicio de Información CD&A Consultores de Riesgos & Continuidad SAS

Gráfico No 2: Proceso del Riesgo desde la óptica de una “Entidad Interesada”

Opciones para CONSECUENCIAS e IMPACTOS

En la Tabla No 1 presentamos en dos columnas las definiciones comparativas para CONSECUENCIA e IMPACTO en cada
uno de los glosarios que hemos tomado como referencia:

Documento Definición
Glosario Consecuencia Impacto
BCI “Resultado evaluado de un evento o un “El efecto, aceptable o inaceptable, de un evento en una

CD&A SAS – Colombia – Derechos Reservados ® 2021

conjunto particular de circunstancias” organización”.

Prohibida su reproducción sin autorización del Autor

ISACA Aunque define el RIESGO como “La “Magnitud de la pérdida resultante de una amenaza
combinación de la probabilidad de un evento que explota una vulnerabilidad”
y su consecuencia”, en el glosario no incluye
el término CONSECUENCIA.
ISO-IEC 73 “Resultado de un evento que afecta los No incorpora en su glosario el término IMPACTO
objetivos”
ISO 22300 “Resultado de un evento que afecta los “Resultado de una interrupción que afecta a los
objetivos” objetivos”
ISO 27000 “Resultado de un evento que afecta los No incorpora en su glosario el término IMPACTO
objetivos”

Página 4 de 7 - “CONSECUENCIA vs IMPACTO: ¿Parecidos pero distintos?”. Abril 2021

Servicio de Información CD&A Consultores de Riesgos & Continuidad SAS

COSO ERM No define de manera específica el término
CONSECUENCIA; define RIESGO como “la
posibilidad de que ocurran eventos que
afecten el logro de la estrategia y los objetivos
de negocio”
DRI No incorpora en su glosario el término
IMPACTO
DHS “Efecto de un evento, incidente u ocurrencia”
NFPA “El resultado de un evento, que puede
expresarse cualitativa o cuantitativamente”
SRA “Efectos de la actividad con respecto a los
valores definidos por un sistema”
“El resultado o efecto de un riesgo”
“Efecto, aceptable o no, que un evento tiene en una
organización”.
“Medida del efecto o influencia de una acción, persona
o cosa sobre otra”
No incorpora en su glosario el término IMPACTO
“Los efectos que tienen las consecuencias sobre
valores específicos (como la vida y la salud humanas,
el medio ambiente y los activos económicos)”

Tabla No 1: Definiciones de CONSECUENCIA e IMPACTO en los Glosarios analizados

Sobre las definiciones de la tabla hacemos algunas interpretaciones referentes a cuál de las dos categorías de efectos
planteados en el modelo – sobre el ESCENARIO o sobre el ACTOR INTERESADO – podrían aplicarse.

a) BCI define la CONSECUENCIA como el resultado del evento y en cuanto al IMPACTO como los efectos del evento
sobre la organización. Deducimos entonces que CONSECUENCIA la refiere a los efectos sobre el contexto y los
activos (en el escenario) y el IMPACTO lo refiere a los efectos sobre el “actor interesado” que evalúa y gestiona el
riesgo para él.
b) ISACA en su glosario solo incorpora IMPACTO, pero su definición no hace distinción que permita inferir a cuál de
las dos categorías de efectos se refiere, siendo entonces ambigua al respecto.
c) ISO en sus diferentes Glosarios (73, 22300 y 27000) refiere sus definiciones a los resultados del evento sobre los
objetivos, por lo que podemos deducir que habla de los efectos sobre el “actor interesado"
d) COSO ERM, aunque no define CONSECUENCIA, parece diferenciar el resultado del evento como parte del riesgo
(Escenario) del efecto de este sobre la organización (Actor interesado)
e) DRI solo define claramente el IMPACTO relacionándolo con el efecto sobre la organización (Actor interesado)
f) DHS relaciona CONSECUENCIA con el efecto del evento y el IMPACTO como el efecto de una cosa sobre otra, con
lo que podríamos inferir que se refiere al reflejo del resultado del evento sobre el “actor interesado”.
g) NFPA solo incorpora la definición de CONSECUENCIA y lo refiere de manera genérica al resultado de un evento,
sin diferenciar si es el efecto sobre los activos o sobre el actor interesado.
h) SRA en su definición de IMPACTO establece los efectos de las consecuencias sobre valores o intereses,
pudiéndose inferir que se refiere a los efectos sobre el “actor interesado”, diferenciándolo de la consecuencia.

CD&A SAS – Colombia – Derechos Reservados ® 2021

Prohibida su reproducción sin autorización del Autor
Tal como se evidencia en las definiciones, cerca de la mitad de las fuentes consultadas hacen diferenciación entre
CONSECUENCIA e IMPACTO y 6 de las 8 organizaciones relacionan el IMPACTO con los efectos sobre el “actor interesado”.
Solo ISACA y NFPA tienen definiciones genéricas y ambiguas.

Conclusiones: Precisiones y usos para una efectiva gestión de los riesgos

La gestión de riesgos se realiza para alguien en particular; eso significa que para hacerla nos “ponemos la camiseta” de un
equipo al cual le queremos defender sus intereses y por ello es subjetiva y está condicionada a las necesidades de la
entidad que defendemos. El RIESGO como concepto tiene un valor académico, pero su importancia práctica radica en su
gestión y para esto es necesario verlo desde la óptica de ese alguien. Lo anterior en definitiva significa, que, para tomar
decisiones, la clave es conocer y entender cómo y de qué manera el riesgo puede afectar a un “actor interesado” ya sea a
una persona física (persona natural) o una jurídica.

Página 5 de 7 - “CONSECUENCIA vs IMPACTO: ¿Parecidos pero distintos?”. Abril 2021

Servicio de Información CD&A Consultores de Riesgos & Continuidad SAS

Partiendo de lo interpretado en los glosarios, aplicaremos los conceptos de CONSECUENCIA e IMPACTO al modelo de
desarrollo del riesgo, asignando cada término a una de las categorías de resultados derivados de un evento: La
CONSECUENCIA la referiremos al efecto que el evento pueda tener sobre los componentes del “escenario de riesgo”
(Elementos del entorno o activos involucrados), y el IMPACTO lo referiremos al efecto de las Consecuencias sobre los
intereses de los “actores involucrados” (Véase el Gráfico No 3).

Escenario de Riesgo

La interacción entre Los elementos del entorno y los Dependiendo de la naturaleza

elementos del “entorno” y/o activos expuestos al evento “x” de las consecuencias y su
los “activos” involucrados en presentan “vulnerabilidades” y magnitud, podrán afectar los
el escenario, generan hechos por lo tanto pueden sufrir intereses o valores de diferentes
con capacidad de afectarlos cambios o alteraciones “actores interesados”

EVENTO CONSECUENCIA IMPACTO

HEADE
Gráfico No 3: Categoría de RESULTADOS derivados de un evento
R
Como conclusión, intentaremos definir cada una de las categorías de resultados para facilitar la comunicación entre los
diferentes actores involucrados en los riesgos, así como su gestión efectiva.
1.- CONSECUENCIA: referida a los efectos que los componentes de un escenario de riesgo (Entorno y activos
involucrados), puedan sufrir como resultado de un evento no deseado o programado.

Notas sobre las Consecuencias:

a) Las consecuencias son objetivas e independientes de los actores interesados: una explosión podría generar 8
muertos; un fraude podría generar una pérdida de US 10 millones, etc.
b) Un mismo evento en un escenario puede generar múltiples consecuencias en él.
c) La magnitud de las consecuencias dependerá de la potencialidad de daño del evento (Niveles de energía, por
ejemplo), del nivel de exposición de los elementos, a la vulnerabilidad4 de cada elemento expuesto y a las
medidas de protección con que cuenten.

2.- IMPACTO: referido a los efectos que los intereses o valores de los diferentes actores interesados en un escenario
de riesgo, puedan sufrir como resultado de las consecuencias de un evento que se presente en dicho escenario.

Notas sobre los Impactos:

CD&A SAS – Colombia – Derechos Reservados ® 2021

a) Los elementos que componen un escenario podrán ser o no parte del actor interesado.

Prohibida su reproducción sin autorización del Autor

b) Cada escenario podrá tener uno o varios actores interesados.
c) Cada actor interesado podrá tener múltiples intereses o valores que puedan afectarse por el mismo evento.
d) Cada actor interesado podrá tener su propio modelo y metodología para valorar y gestionar los riesgos e
impactos.
e) A las diferentes derivaciones de impactos de un mismo evento suele llamárseles “dimensiones del riesgo”.
f) Los impactos representan la gravedad relativa de los efectos de un evento sobre los intereses y valores de un
actor interesado.
g) Los impactos serán los referentes para la toma de decisiones en los actores interesados.

4
La VULNERABILIDAD es otro concepto sobre el cual hay divergencias sobre su significado y aplicación en diversas disciplinas relacionadas con el riesgo;
en otro escrito analizaremos este tema.

Página 6 de 7 - “CONSECUENCIA vs IMPACTO: ¿Parecidos pero distintos?”. Abril 2021

Servicio de Información CD&A Consultores de Riesgos & Continuidad SAS

Para facilitar la comprensión, expondremos a continuación un sencillo ejemplo hipotético sobre la aplicación de los
conceptos5:
En la compañía Petrolera ACME, por un error en sus procesos (incremento excesivo en la presión de operación) se
presenta la ruptura en una línea de flujo de 20” de diámetro que conduce “crudo” hacia las instalaciones de su principal
cliente Petrocentral. Como resultado de ello se genera un derrame 2200 barriles de producto en el cauce del rio AZUL que
provee agua a los acueductos de varias poblaciones “aguas abajo”. Adicionalmente, el daño al oleoducto tardará 6 días en
ser reparado y el costo de la atención de la contingencia, el producto perdido, mas los gastos de limpieza y remediación
ambiental es de US$ 750.000.
Consecuencias:
• Contaminación del Rio AZUL
• Pérdidas económicas directas de US$ 750.000
• Lucro cesante por 6 días sin operar
• Suspensión de los servicios de acueducto en 4 poblaciones
• Daño a la fauna y a la flora del rio AZUL
• Etc.
Impactos para ACME
• Impacto OPERACIONAL al dejar de funcionar el por “X” dias
• Impacto ECONÓMICO al sufrir pérdidas por US$ “Y”
• Impacto REPUTACIONAL por la contaminación y su papel en ella
• Impacto COMERCIAL por la posible decisión de Petrocentral de cambiar de proveedor
• Etc.
ACME, de acuerdo con su modelo de gestión de riesgos, determinará la “gravedad relativa” de los diversos impactos
que el evento puede generar a sus intereses.
Por otro lado, habrá otros “actores interesados” respecto al mismo incidente; ellos podrían ser:
a) Petrocentral y sus clientes
b) Autoridad Ambiental
c) Municipios afectados por el derrame
d) Inversionistas
e) Asociación protectora del Rio AZUL
f) Etc.
Para cada uno de los anteriores actores habrá intereses vitales que pueden ser afectados, y de igual manera, cada uno
de ellos, de acuerdo a su modelo de gestión de riesgos, determinará la gravedad relativa de los impactos que puedan
sufrir y tomará las decisiones que considere adecuadas para el control y mitigación de ellos.

El presente artículo sin modificaciones puede ser distribuido libremente.

Su publicación u otro uso diferente debe contar con la autorización del
autor, y en todos los casos registrar los créditos correspondientes

CD&A SAS – Colombia – Derechos Reservados ® 2021

Prohibida su reproducción sin autorización del Autor

En el próximo artículo presentaremos la

metodología para la apreciación de riesgos basada
en “Rutas de Riesgo” y sus ventajas sobre la
metodología tradicional basada en “Procesos”

5
El ejemplo se ha simplificado al máximo para el propósito del presente documento

Página 7 de 7 - “CONSECUENCIA vs IMPACTO: ¿Parecidos pero distintos?”. Abril 2021