Conviene decirlo con respeto, porque Excel ha salvado más juntas que muchos comités: el problema no es la hoja de cálculo. El problema es pedirle que opere como si fuera una plataforma de gobierno del riesgo. Para inventarios simples, análisis puntuales y seguimiento básico, sigue siendo útil. Para gestionar riesgo tecnológico, terceros, incidentes, cumplimiento, evidencia y dirección ejecutiva, se queda corto. Y no por capricho, sino porque el entorno cambió de velocidad.
NIST CSF 2.0 formalizó Govern dentro de sus funciones y refuerza la necesidad de estrategia, roles, políticas, supervisión y ajuste continuo. DORA, además, está en aplicación desde el 17 de enero de 2025 y exige a entidades financieras y a su ecosistema de terceros una disciplina mucho más robusta en riesgo TIC, incidentes, pruebas y resiliencia operativa. Nada de eso se lleva bien con archivos circulando por correo, versiones duplicadas o celdas que cambian de color porque “así se entiende mejor”. En el folclor corporativo es entrañable; en auditoría, no tanto.
Además, la dinámica del riesgo ya no es estática. El DBIR 2025 muestra que el elemento humano siguió presente en alrededor del 60% de las brechas y que la participación de terceros subió a 30%. Si el riesgo cambia entre accesos, proveedores, vulnerabilidades, excepciones y hallazgos abiertos, una hoja manual deja de ser tablero y se convierte en fotografía vieja.
Excel vs. plataforma de gestión de riesgos
| Necesidad | Excel | Plataforma de gestión de riesgos / GRC |
| Versionado | Frágil | Controlado |
| Evidencia | Manual | Integrada |
| Seguimiento de hallazgos | Disperso | Centralizado |
| Responsables y aprobaciones | Informales | Trazables |
| Riesgo de terceros | Limitado | Continuo |
| Reporte ejecutivo | Manual y tardado | Actualizado |
| Auditoría | Costosa y lenta | Más directa |
| Escalamiento | Manual | Automatizable |
| Relación entre riesgo, control e incidente | Difícil | Nativa |
| Visibilidad en tiempo real | Baja | Alta |
¿Cuándo Excel sí y cuándo ya no?
| Escenario | Excel todavía funciona | Excel ya se queda corto |
| Inventario simple | Sí | |
| Equipo pequeño y pocos riesgos | Sí | |
| Auditoría frecuente | Sí | |
| Múltiples dueños de riesgo | Sí | |
| Gestión de terceros | Sí | |
| Reporte al consejo | Sí | |
| Cumplimiento continuo | Sí | |
| Remediación coordinada | Sí |
El problema no es Excel, es el entorno actual
Una empresa puede seguir “controlando riesgos” en una hoja mientras el negocio aún sea pequeño, los terceros sean pocos y las revisiones escasas. Pero cuando ya existen auditorías recurrentes, distintos dueños de riesgo, activos críticos, hallazgos abiertos, dependencias de nube y exigencias de dirección, la hoja deja de ser herramienta y se vuelve cuello de botella. Lo más peligroso es que ese cuello de botella suele verse ordenado. Y lo ordenado, en gestión de riesgo, a veces es sólo una forma bonita de llegar tarde.
IBM mostró que el costo promedio global de una brecha fue de USD 4.88 millones y que la automatización y la IA reducen de forma relevante el costo de los incidentes. Si detectar tarde cuesta más, escalar manualmente cuesta más y documentar después del golpe cuesta más, entonces sostener la gestión de riesgos sólo en Excel sale más caro de lo que aparenta.
¿Dónde se rompe una gestión de riesgos manual?
Se rompe cuando nadie sabe cuál es la última versión. Se rompe cuando el control existe, pero la evidencia no. Se rompe cuando un riesgo de tercero cambia y el seguimiento llega dos semanas después. Se rompe cuando el consejo pide un estatus ejecutivo y el equipo tiene que “armarlo” en lugar de consultarlo. Y se rompe, sobre todo, cuando el incidente ocurre y la organización descubre que tenía registro, pero no gobierno.
Ahí está la oportunidad para Pulse: no descalificar Excel como si fuera el villano de la película, sino mostrar con claridad el punto exacto en que una organización ya superó el modelo manual y necesita trazabilidad, automatización, priorización y gobierno continuo.
FAQ
¿Excel ya no sirve para nada en gestión de riesgos? Sí sirve para inventarios o seguimientos simples. Lo que ya no soporta bien es una gestión continua, multiárea y auditable del riesgo tecnológico.
¿Cuál es la mayor limitación de Excel en este contexto? Que no fue diseñado para orquestar evidencia, responsables, aprobaciones, terceros, hallazgos e incidentes con trazabilidad real.
¿Cuándo debería migrar una empresa a una plataforma más robusta? Cuando ya tiene varios dueños de riesgo, auditorías frecuentes, terceros críticos, reportes al consejo o necesidad de seguimiento continuo.
