Proceso Area

EDM03 — Asegurar la optimización

Gobierno
del riesgo

B. Componente: Estructuras organizativas

Asamblea
Práctica clave de gobierno
General

EDM03.01 Evaluar la gestión de riesgos A

EDM03.02 Dirigir la gestión de riesgos A

EDM03.03 Monitorizar la gestión de

A
riesgos.
 Propósito Objetivo

Evaluar la gestión de riesgos

Asegurarse de que el riesgo de negocio

relacionado con la I&T no exceda el
apetito y tolerancia al riesgo de la Dirigir la gestión de riesgos
empresa, que se identifique y gestione el
impacto del riesgo de I&T para el valor
de negocio y que se minimicen los
posibles fallos de cumplimiento

Monitorizar la gestión de riesgos.

Gerente General Oficial de Riesgos

R R

R R

R R
Codigo_ Procedimiento Procedimiento
Asegurar que el apetito y la tolerancia al riesgo de la
empresa se entiendan, articulen y comuniquen, y que
EDM03.01 Evaluar la
se identifique y gestione el riesgo para el valor de
gestión de riesgos
negocio
relacionado con el uso de I&T.

Examinar y evaluar continuamente el efecto del

riesgo sobre el uso actual y futuro de las I&T en la
EDM03.02 Dirigir la empresa. Considerar si el apetito al riesgo de la
gestión de riesgos empresa es apropiada, y que se identifique y
gestione el riesgo para el valor de la empresa
relacionado con el uso de I&T.

Dirigir el establecimiento de prácticas de gestión de

riesgos para ofrecer una seguridad razonable de que
EDM03.03 Monitorizar la las prácticas de gestión de riesgos de I&T son
gestión de riesgos. apropiadas y que el riesgo de I&T actual no
sobrepasa al apetito al riesgo del consejo de
administración.

Coordinación de
Oficial de Riesgos
Tecnología y Sistemas

R R
 Entrada Proceso

Problemas y factores de riesgo Evaluación de actividades

emergentes de gestión de riesgos

Planes de mitigación y perfiles para la

Dirigir el desarrollo de planes de
gestión de riesgos empresariales
comunicación de riesgos
(ERM)

Supervisar hasta qué punto se gestiona

Oportunidades para la aceptación de un el perfil de riesgo dentro de los umbrales
riesgo mayor. de tolerancia y apetito de riesgo de la
empresa
 Salida Cumplimiento Tiempo de Cierre

Cuestionario de evaluación de
SI
gestión de riesgos

Políticas de gestión de riesgos SI

Niveles aprobados de tolerancia al

SI
riesgo
 servicio y
normalizar la
liquidez de la
Cooperativa.
personal del
departamento
de crédito y
cobranza,
aplicando el
modelo de
gestión de
riesgos para
que
Propuesta de Metodología desarrollen
con
responsabilid
ad y
profesionalis
Se creará algún mecanismo que permita definir el Apetito de mo las
Riesgo de TI en una organización. actividades a
ellos
encomendada
s, e
nivel de Tolerancia al riesgo de TI. informarles
Del mismo modo, el mecanismo que se incluya sobre las
en la Metodología, deberá basarse en lo que sanciones a
indica COBIT 5 y además, sin ser demasiado las que están
general, debe permitir ser adaptado para expuestos en
diferentes organizaciones caso de
incumplimien
to, para de
esta manera
Se contemplará las principales actividades necesarias para la mejorar el
definición de una Política Organizacional de Riesgos de TI. servicio y
normalizar la
liquidez de la
Cooperativa.
 "COOPERATIVA LUZ DEL VAL

CUESTIONARIO DE CONTROL IN

Departamento: Oficial de Riesgos

Realizado a: Administración y gobierno
Cargo:
EDM03.01 Evaluar la gestión de riesgos

N° PREGUNTAS

¿Se realiza frecuentemente análisis de riesgos de TI para identificar procesos

1 críticos?

¿Los procesos críticos del organismo están relacionados con los procesos
2 críticos de TI?

¿Se presentan resultados de logros de objetivos y metas para las áreas

3
importantes de operación?

EDM03.02 Dirigir la gestión de riesgos

N° PREGUNTAS

¿En los proyectos de TI se consideran los riesgos para

1
TI?
¿Los riesgos que se han identificado como críticos se han mitigado
2
eficazmente?
3 ¿ Los proyectos empresariales consideran los riesgos de TI ?

EDM03.03 Monitorizar la gestión de riesgos.

N° PREGUNTAS
1 ¿El porcentaje de riesgos de TI que exceden los riesgos tolerados es bajo?

2 ¿El nivel de impacto empresarial inesperado es bajo?

ATIVA LUZ DEL VALLE"
PT1_EDM_03
RIO DE CONTROL INTERNO

RESPUESTAS COMENTARIOS

SI NO

X Promedio de análisis de 3 a 5 veces al año

X Suele ser alto por la crisis sanitaria se a incrementado este nivel de impacto

X
Generalmente esto se da con el departamento de ventas

2 1

66.67% 33.33%

RESPUESTAS COMENTARIOS
SI NO

X
La mayoría de programas y proyectos consideran riesgos TI

x Todo proyecto debe pasar por un analisis de riesgos emrpesariales y TI

3 0
100.00% 0.00%

RESPUESTAS COMENTARIOS
SI NO
 X

Normalmente el nivel de impacto empresial inesperado es bajo sin embargo

en los últimos meses debido a la pandemia por el coranavirus, se a
X incrementado el nivel de impacto empresarial al igual que los riesgos dentro
de los procesos críticos como en la recuperación de cartera que se a visto
afectada elevando su riesgos

1 1
50.00% 50.00%
 Métricas relacionadas

EDM03.01 Evaluar la gestión de Frecuencia de actualización de la

riesgos evaluación del factor de riesgo

Porcentaje de proyectos de la
EDM03.02 Dirigir la gestión de
empresa que consideran el riesgo
riesgos
de I&T.

•  Porcentaje de riesgo de TI que

EDM03.03 Monitorizar la gestión de
excede la tolerancia al riesgo de la
riesgos.
empresa

CALIFIACIÓN CUMPLE
1 a 15

15 a 50 50.00%
50 a 85
85 a 100
 Cálculo
Fórmula de cálculo TO TAL
métricas
Número de evaluaciones del factor de
x 100 5 *100 83%
riesgo realizado
Número de evaluaciones del factor de
6
riesgo esperado

Número de proyectos en la empresa que

x 100 22 *100 88%
consideran riesgos de TI

Número total de proyectos en la

25
empresa

Número de procedimientos que no

excede la tolerancia al riesgo de la x 100 5 *100 50%
empresa

Número total de procesos 10

NO CUMPLE DESEMPEÑO
 CUMPLE

CUMPLE
50.00% NO CUMPLE
NO CUMPLE
CALIFIACIÓN CUMPLE NO CUMPLE DESEMPEÑO

1 a 15 NO ALCANZADO

EDM03.3
15 a 50 PARCIALMENTE

EDM03.1
50 a 85 AMPLIAMENTE

EDM03.2
85 a 100 COMPLETAMENTE
 "COOPERATIVA LUZ DEL VALLE"
CUESTIONARIO CONTROL INTERNO DE RIESGOS

CUESTIONARIO
Realizar un cuestionario dirigido al Jefe de TI, cuya evaluación se enfoca en el
control interno.

I. Cumplimiento de procedimientos, normas y controles dictados. Merece resaltarse la vigilancia sobre

control de cambios y versiones de software.

N° PREGUNTAS

¿Existen procedimientos de control del software contratado bajo licencia?

1

¿Existe procedimientos para la instalación de software y para el

2
establecimiento de la dirección del riesgo de virus informáticos?
¿Existen normativas de desarrollo y adquisición de software de
3
aplicaciones?
4 ¿Existe manuales de mantenimiento de hardware?
5 ¿Existe manuales de mantenimiento de software?
TOTAL
PORCENTUAL

II. Controles sobre la producción diaria

N° PREGUNTAS

¿Existen políticas referentes a la organización y utilización de los

1
discos duros de los equipos?
2 ¿Existe un plan de contingencia de la Cooperativa Luz del Valle?
3 ¿Existen de mantenimiento preventivo a los equipos de hardware?
¿Se ha revisado los contratos de mantenimiento y el tiempo medio
4
de servicio acordados con el proveedor?
5 ¿Existen políticas de seguridad para el acceso a los servidores?
¿Existe Controles de tratamientos de datos para asegurar que no se
6
den de alta, se modifiquen o se borren datos no autorizados?
¿Existen controles para evitar la introducción de un sistema
operativo a través de puertos de salida que pudiera vulnerar el sistema de
7
seguridad establecido?
¿Existen políticas que sirve de base para la planificación, control y
 8 evaluación por la Dirección de las actividades del Departamento de TI?
¿Se bloquean páginas web que no corresponden al perfil del
9
usuario?
TOTAL
PORCENTUAL

III. Controles sobre la calidad y eficiencia del desarrollo y mantenimiento de software

y del servicio de informática

N° PREGUNTAS

1 ¿Existe prevención a las caídas del sistema informático?

2 ¿Existe mantenimiento del sistema informático?
3 ¿Existen controles de satisfacción al sistema informático?
TOTAL
PORCENTUAL

IV. Controles en las redes de comunicaciones

N° PREGUNTAS

¿Existe planes adecuados de implantación y pruebas de aceptación para la

1
red?
2 ¿Existe un grupo especializado en el control de red?
¿Existen controles de seguridad lógica como control de acceso a la red y
3
establecimiento de perfiles de usuario?
¿Existen procedimientos de cifrado de información sensible que se transmite
4
a través de la red?
5 ¿Existe monitoreo para medir la eficiencia de la red?
¿Existen políticas que contemplen la selección, adquisición e instalación de
6
redes de área local?
¿Existen políticas que obliguen a la desconexión de los equipos de las líneas
7
de comunicación cuando no se está haciendo uso de ellas?
¿Existe la implantación de la red local productos de seguridad así como
8
herramientas?
9 ¿Existe un inventario de todos los activos de la red?
10 ¿Existe controles para evitar modificar la configuración de una red?
¿Existen controles de acceso a redes, mediante palabra clave, a través de
11
computadores personales?
12 ¿Existen procedimientos de respaldo del hardware y del software de la red?
¿Existe procedimientos de cifrado de información sensible que se transmite
13
a través de la red?
TOTAL
PORCENTUAL

V. Controles sobre el software base

N° PREGUNTAS

1 ¿Existe licencias de software base para todos los equipos de hardware?

2 ¿Existe controles de caducidad a las licencias del software base?
TOTAL
PORCENTUAL

VI. Controles en los sistemas microinformáticos

N° PREGUNTAS

1 ¿Existe prevención de robos de dispositivos informáticos?

2 ¿Existe autorización para desplazamientos de equipos informáticos?
¿Existe control en el acceso a los inventarios de los recursos
3
microinformáticos?
TOTAL
PORCENTUAL

VII. La seguridad informática

N° PREGUNTAS

1 ¿Existe un grupo de seguridad de la información?

2 ¿Existe controles de acceso a los servidores?
3 ¿Existe cámaras de seguridad en el área que se encuentran los servidores?
TOTAL
PORCENTUAL

VIII. Usuarios, responsables y perfiles de uso de archivo, bases de datos.

N° PREGUNTAS

¿Existen funciones y responsabilidades dentro del Departamento de TI con

1
una clara separación de las mismas?
¿Existe Controles físicos para asegurar que el acceso a las instalaciones del
2 Departamento de Informática queda restringido a las personas autorizadas?
¿Existe Control de acceso restringido a los computadores mediante la asignación de
usuarios identificados con palabra clave personal e
3 intransferible?
4 ¿Existen normas que regulen el acceso a los recursos informáticos?
¿Existe responsabilidades sobre la planificación, organización dotación y
5
 5
control de los activos de datos, es decir, existe un administrador de datos?
TOTAL
PORCENTUAL

IV. Normas de seguridad

N° PREGUNTAS

¿Existe normas de seguridad que garantice la confidencialidad, integridad de

1
la información?
¿Existen normas que prohíban la utilización de puertos de entrada/salida en
2
los equipos de hardware?
3 ¿Existen normas que regulen el acceso a los recursos informáticos?
TOTAL
PORCENTUAL

X. Control de Información clasificada

N° PREGUNTAS

¿Existe una política de clasificación de la información para saber dentro de

1
la organización qué personas están autorizadas y a qué información?
¿Existe control de acceso físico a los datos y aplicaciones como
2
almacenamiento de información o aplicación?
TOTAL
PORCENTUAL

XI. Control dual de la seguridad Informática

N° PREGUNTAS

1 ¿Existe control dual en el acceso a los servidores?

¿Existe control dual para la modificación de información debido a errores
2
cometidos por el perfil del usuario?
3 ¿Existe control dual para la asignación de perfiles de usuario?
TOTAL
PORCENTUAL

XII. Licencias y relaciones contractuales con terceros

N° PREGUNTAS

¿Existe seguimiento a los acuerdos previstos en los contratos con los

1
proveedores de los equipos de hardware y software?
 ¿Existe seguimiento a los acuerdos previstos en los contratos con los
2
proveedores de los equipos de software?
3 ¿Existe seguimiento a las licencias de software y su caducidad?
TOTAL
PORCENTUAL

XIII. Asesorar y transmitir cultura sobre el riesgo informático.

N° PREGUNTAS

1 ¿Existe capacitaciones al personal sobre los riesgos informáticos?

¿Existe sanciones al personal por vulnerar las seguridades de los riesgos
2
informáticos?
TOTAL
PORCENTUAL
 EDM03

LE"
DE RIESGOS

saltarse la vigilancia sobre el

RESPUESTAS

SI NO Resumen de los resultados del cuestionario

X N
O
X 41 SI
% 59
X %
2 3
60% 40%

aria
RESPUESTAS

SI NO

X
X

X
 X

8 1
89% 11%

ftware

RESPUESTAS

SI NO
X
X
X
1 2
33% 67%

iones
RESPUESTAS

SI NO

X
X

5 8
 38% 62%

RESPUESTAS

SI NO
X
X
0 2
0 100%

cos
RESPUESTAS

SI NO
X
X

3 0
100% 0%

RESPUESTAS

SI NO
X
X
X
2 1
67% 33%

RESPUEST
AS
SI NO

X
X

X
 X

4 1
80% 20%

RESPUESTAS

SI NO

X
3 0
100% 0%

RESPUESTAS

SI NO

2 0
100% 0%

mática
RESPUESTAS

SI NO
X

X
1 2
33% 67%

ceros
RESPUESTAS

SI NO

X
 X

X
1 2
33% 67%

mático.
RESPUESTAS

SI NO
X

1 1
50% 50%
 "COOPERATIVA LUZ DEL VALLE"
CUESTIONARIO CONTROL INTERNO DE RIESGOS

Empresa Auditada: Cooperativa de Ahorro y Crédito "Luz Del Valle"

N° OBJETIVO

2 CUMPLIMIENTO DE LA NORMATIVA

CONTROLES SOBRE LA PRODUCCION

4 DIARIA

5 CONTROLES SOBRE

6 LA CALIDAD Y

10

CONTROLES EN LAS REDES DE

11
COMUNICACIONES

12

13
 13

14

N° OBJETIVO

CONTROLES
15
SOBRE EL SOFTWARE DE BASE

16

LA SEGURIDAD INFORMATICA -
RESPONSABILIDA DES A CONTROL INTERNO O

CONTROL DUAL
17
USUARIOS RESPONSABLES Y PERFILES DE USO
DE ARCHIVO,

BASE DE DATOS

18

CONTROL DUAL DE LA SEGURIDAD

19
INFORMATICA

20

21
LICENCIAS Y RELACIONES CONTRACTUALES
CON TERCEROS
22

ASESORAR Y TRANSMITIR CULTURA SOBRE EL

RIESGO INFORMATICO

23

Representación Gráfica de la Matriz de Riesgos

 Representación Gráfica de la Matriz de Riesgos

ASESORAR Y TRANSMITIR CULTURA SOBRE EL RIESGO INFORMATICO 4,05% 6,25%

 
LICENCIAS Y RELACIONES CONTRACTUALES CON TERCEROS 5,41%
12,50%

CONTROL DUAL DE LA SEGURIDAD INFORMATICA

USUARIOS RESPONSABLES Y PERFILES DE USO DE ARCHIVO, BASE DE DATOS

LA SEGURIDAD INFORMATICA -RESPONSABILIDADES A CONTROL INTERNO O

5,41% 3,91%
CONTROL DUAL

3.1.1.            Evaluación de riesgos

Para la respectiva evaluación se aplicará las siguientes medidas de probabilidad e impacto en cada una d
negativo, las cuales obtendrán una calificación según la probabilidad e impacto que

Tabla Medidas de Probabilidad

 NIV
VALORES
EL
Entre 81% y
Valor 5 Casi certeza
100%
Entre 61% y
valor 4 Probable
100%
Entre 41% y
Valor 3 Posible
60%
Entre 21% y
Valor 2 Improbable
40%
Entre 0% y
Valor 1 Nulo
20%

Medidas de Impacto

NIVEL DENOMINACIÓN

1 Insignificante

2 Menor

3 Moderado

4 Mayor

5 Catastrófico
"COOPERATIVA LUZ DEL VALLE"
ONARIO CONTROL INTERNO DE RIESGOS

Matriz de Riesgos
uz Del Valle" Departamento Auditado: Departamento de TI

RESPUESTA CALIFICACIÓN DEL RIE

RIESGO

PROBABILI
SI NO IMPACTO
DAD
¿Existen procedimientos de control del software
X 3 5
contratado bajo licencia?

¿Existen normativas de desarrollo y adquisición de

X 2 3
software de aplicaciones?

¿Existe manuales de mantenimiento de software? X 3 5

¿Existen políticas referentes a la organización y

X 3 3
utilización de los discos duros de los equipos?

¿Existe prevención a las caídas del sistema informático? X 5 8

¿Existen controles de satisfacción al sistema

X 2 2
informático?
¿Existe planes adecuados de implantación y pruebas de
X 2 3
aceptación para la red?
¿Existe un grupo especializado en el control de red? X 3 4
¿Existen controles de seguridad lógica como control de
acceso a la red y X 4 5
establecimiento de perfiles de usuario?
¿Existen procedimientos de cifrado de información
sensible que se transmite a través de la red? X 4 4

¿Existe monitoreo para medir la eficiencia de la red? X 4 4

¿Existen políticas que contemplen la selección,

adquisición e instalación de redes de área local? X 4 3

¿Existen políticas que obliguen a la desconexión de los

equipos de las líneas de comunicación cuando no se está
haciendo uso de ellas? X 2 3
 X 2 3

¿Existe la implantación de la red local productos de

seguridad así como herramientas y utilidades de
seguridad? X 4 4

RESPUESTA CALIFICACIÓN DEL RIESG

RIESGO
PROBABILID
SI NO IMPACTO
AD
¿Existe licencias de software base para todos los equipos de
hardware?
X 2 9

¿Existe controles de caducidad a las licencias del software

X 2 7
base?

¿Existe un grupo de seguridad de la información? X 4 5

¿Existe responsabilidades sobre la planificación, organización

dotación y control de los activos de datos, es decir, existe un
administrador de datos?
X 6 9
¿Existe control dual para la modificación de información
debido a X 5 9
errores cometidos por el perfil del usuario?

¿Existe control dual para la asignación de perfiles de usuario? X 3 9

¿Existe seguimiento a los acuerdos previstos en los contratos

con X 2 7
los proveedores de los equipos de hardware?

¿Existe seguimiento a las licencias de software y su caducidad? X 2 9

¿Existe capacitaciones al personal sobre los riesgos

X 3 8
informáticos?

esentación Gráfica de la Matriz de Riesgos

esentación Gráfica de la Matriz de Riesgos

ORMATICO 4,05% 6,25%

TERCEROS 5,41%

FORMATICA 10,81% 14,06%

DE DATOS 8,11% 7,03%

OL INTERNO O
5,41% 3,91%

0,00% 10,00% 20,00% 30,00% 40,00% 50,00% 60,00% 70,00%

PROBABILIDAD IMPACTO

ntes medidas de probabilidad e impacto en cada una de las preguntas con resultado
n una calificación según la probabilidad e impacto que poseen.
 DESCRIPCION DEL
RIESGO
Se espera que ocurran la mayoría de las
circunstancias
Probablemente ocurrirá en la mayoría de las
circunstancias
Podría ocurrir en algún momento

Pudo ocurrir en algún momento

Puede ocurrir solo en circunstancias

excepcionales

DESCRIPCION DEL
RIESGO
Requiere tratamiento mínimo, baja pérdida
financiera
Requiere tratamiento menor, pérdida financiera
media
Requiere tratamiento, pérdida financiera alta
Requiere tratamiento intenso, pérdida financiera
mayor
Requiere tratamiento mayor, pérdida financiera
 EDM03

CALIFICACIÓN DEL RIESGO

RIESGO SEMAFORO

13

5
 5

CALIFICACIÓN DEL RIESGO

RIESGO SEMAFORO

11

15

14

12

11

11
 "COOPERATIVA LUZ DEL VALLE"
Levantamiento de Proyectos

CONSIDERA RIESGOS DE TI
PROYECTOS Y PROGRAMAS SI NO
Programa de Fortalecimiento y 1
1 Desarrollo Institucional (PFDI)
Programa Regional de Capacitación 1
2 Estratégica (PRCE)
Programa de Mejoramiento de la Calidad 1
3 Cooperativa (PMCC)
Programa de Construcción de un Nuevo
Modelo Organizacional Cooperativo 1
4 (PCMO)
Programa de Mejoramiento de la
Participación Cooperativa en el 1
5 Desarrollo Rural (PMDR)
Programa Regional de Equidad Género 1
6 y Generacional (PREG)
Programa de Desarrollo Gerencial 1
7 Cooperativo (PDGC)
Programa de Pasantías e Intercambio de 1
8 Experiencias (PPIE)
Programa Regional de Información, 1
9 Investigación y Comunicación (PRIC)
Programa de Asistencia Técnica para el 1
10 desarrollo (PATD)
Proyecto de Certificación de Equidad de 1
11 Género en Organizaciones Cooperativas
12 GESTION ESTRATÉGICA 1
13 GESTIÓN DE CALIDAD 1
14 GESTIÓN EMPRESARIAL 1
15 EQUIDAD DE GÉNERO 1
16 GESTIÓN COMERCIAL 1
17 GESTIÓN ORGANIZACIONAL 1
 18 MARKETING EMPRESARIAL Y SOCIAL 1
19 NORMAS INTERNACIONALES 1
20 DESARROLLO ECONÓMICO LOCAL 1
21 SOCIOLOGÍA DE LAS ORGANIZACIONES 1
22 IDENTIDAD CORPORATIVA 1
23 ANALISIS COMPARADO 1
24 DESARROLLO GERENCIAL 1
ESTUDIOS ESTADISTICOS
SECTORIALES, REGIONALES Y 1
25 NACIONALES
TOTAL 22 3

MATRIZ DE RIESGOS DE PROYECT

Probabilidad
ID TIPO DE de Nivel de Nivel de Evaluación
DESCRIPCION DEL RIESGO AREA RESPONSABLE RATING IMPA
RIESGO RIESGO Ocurrencia Impacto Control del Riesgo

Desviación excesiva de las horas de No finalizar el p

Departamento de Planificación y Probable 5 3 3 9
dedicación estimadas por parte de Riesgo del fecha com
R01 Control de Gestión /Gerencia de
las integrantes del proyecto Proyecto Aumento del cos
Planificación y Desarrollo Posible 3 3 3 5
(número de hor
Departamento de Planificación y El producto no c
Riesgo del
R02 Requisitos poco claros Control de Gestión /Gerencia de Posible 4 2 3 5 expectativas y e
Producto
Planificación y Desarrollo reque
Departamento de Planificación y Las desviaciones
Falta de Experiencia en tareas de Riesgo del
R03 Control de Gestión /Gerencia de Poco Probable 4 3 3 7 sobre los límite
planificación Proyecto
Planificación y Desarrollo CPI es > 1
Departamento de Planificación y El producto no c
Riesgo del
R04 Diseño Erróneo Control de Gestión /Gerencia de Posible 2 1 2 2 expectativas y e
Producto
Planificación y Desarrollo reque

Las desviaciones
Gerenet del Proyecto/Equipo de Riesgo del sobre los límite
R05 Afecta al costo del proyecto Posible 3 1 3 2
Trabajo Proyecto PV, EV, AC
CPI, SP
Las desviaciones
Gerenet del Proyecto/Equipo de Riesgo del sobre los límite
R06 Afecta el tiempo de ejecución Posible 4 2 3 5
Trabajo Proyecto PV, EV, AC
CPI, SP
Las desviaciones
Gerenet del Proyecto/Equipo de Riesgo del sobre los límite
R07 Afecta al alcance del proyecto Posible 3 4 3 7
Trabajo Proyecto PV, EV, AC
CPI, SP
El producto
Gerenet del Proyecto/Equipo de Riesgo del
R08 Afecta la calidad del proyecto Posible 2 4 1 8 especificacion
Trabajo Proyecto
estable
 EDM03

UZ DEL VALLE"
de Proyectos
GOS DE PROYECTOS

el de Evaluación
IMPACTO INDICADOR ACCIONES PREVENTIVAS ACCIONES CORRECTIVAS
ntrol del Riesgo

No finalizar el proyecto en la PV, EV, AC, CV, SV, CPI,

3 9
fecha comprometida SPI, EAC Convocar una reunión para revisar la Implementar el cambio a través
Aumento del coste del proyecto PV, EV, AC, CV, SV, CPI, planificación. del control integrado de cambios
3 5
(número de horas dedicadas) SPI, EAC
El producto no cumple con las El 95% de ensayos cumple
Implementar medidas de control y Implementar el cambio a través
3 5 expectativas y especificaciones con la especificación
aseguramiento de calidad del producto del control integrado de cambios
requeridas técnica planteada
Las desviaciones de control están Implementar las acciones correctivas
PV, EV, AC, CV, SV, CPI, Implementar el cambio a través
3 7 sobre los límites permisibles del caso, en base a un análisis
SPI, EAC del control integrado de cambios
CPI es > 1 y SPI > 1 costo/beneficio
El producto no cumple con las El 95% de ensayos cumple
Implementar medidas de control y Implementar el cambio a través
2 2 expectativas y especificaciones con la especificación
aseguramiento de calidad del producto del control integrado de cambios
requeridas técnica planteada

Las desviaciones de control están

sobre los límites permisibles PV, EV, AC, CV, SV, CPI, Ejecutar acciones preventivas que no Implementar el cambio a través
3 2
PV, EV, AC, CV, SV, SPI, EAC afecten las restricciones del proyecto del control integrado de cambios
CPI, SPI, EAC
Las desviaciones de control están
sobre los límites permisibles PV, EV, AC, CV, SV, CPI, Ejecutar acciones preventivas que no Implementar el cambio a través
3 5
PV, EV, AC, CV, SV, SPI, EAC afecten las restricciones del proyecto del control integrado de cambios
CPI, SPI, EAC
Las desviaciones de control están
sobre los límites permisibles PV, EV, AC, CV, SV, CPI, Ejecutar acciones preventivas que no Implementar el cambio a través
3 7
PV, EV, AC, CV, SV, SPI, EAC afecten las restricciones del proyecto del control integrado de cambios
CPI, SPI, EAC
De no cumplir con los controles
El producto no cumple El 95% de ensayos cumple Verificar las listas de control de
de aseguramiento y control de
1 8 especificaciones técnicas con la especificación Calidad para garantizar el cumplimiento
calidad , se deben ejecutar
establecidas técnica planteada del proceso estándar
acciones de control de cambios
 "COOPERATIVA LUZ DEL VALLE"
MATRIZ DE RIESGO DE RECUPERACIÓN DE CARTER

MATRIZ DE RIESGOS

RIESGOS INTERNOS
Riesgo de
CRÉDITO Y COBRANZA liquidez Riesgo operacional
Cartera vencida de años anteriores 5 5
Falta de métodos para medir el cumplimiento de 5
los procesos de crédito
Riesgo en otras áreas que afectan a crédito y 4 4
cobranza.
Alta morosidad en microcréditos
Identifican riesgo y no documentan
No se da respuesta a los riesgos encontrados.
Análisis del ambiente de trabajo. 3
No evalúan la calidad del trabajo 3
Falta de seguridad
Desconfianza por parte de nuevos socios. 4
TOTALES 9 24

Políticas de Riesgo
Toda información que sea entregada a la COAC será manejada con absoluta confidencialidad
propietaria de la información contenida en su base de datos y todos los nuevos datos e históri

La Cooperativa es la única propietaria de la información contenida en su base de datos y todo

1. El responsable de los créditos debe realizar un análisisdel mercado para lograr una colocac
2. El comité de crédito desarrollará ideas para mejorar la eficiencia de los procesos de crédito
3. Se debe dar un buen trato a los clientes (especialmente cuando se niegue un crédito)
4. Los encargados deben efectuar minuciosamente el análisis de los problemas del departame
5. El área de crédito y cobranza deberá controlar los créditos vencidos mediante la verificació
6. El asesor debe dar seguimiento a los créditos que están en riesgos de caer en mora antes de
 "COOPERATIVA
VALLE"

Cobro de Cartera
Nombre del Proceso:
de Créditos.
Objetivo: Garantizar que el proceso de cobro del crédito sea ejecutado de manera
eficiente y eficaz, evitando que los créditos caigan en mora.
Nº ACTIVIDAD DESCRIPCIÓ
El Asesor de Crédito obtiene el
1 Reporte de créditos vencidos. de Créditos Vencidos
del sistema.
Solicita las carpetas de los
2 Socios morosos.
socios morosos a Archivo.
Archivo selecciona las carpetas
3 Selección de carpetas.
solicitadas y entrega a los Aseso
Planificación del recorrido. El asesor recibe las carpetas y
4
planifica el recorrido por zonas.
Primera: Al socio de un día de v
Segunda: A los garantes de 10 d
vencido
Tercera: Al socio y garantes de
5 El Asesor efectúa las respectivas notificaciones.
vencido
Cuarta: Al socio y garante de
30 días de vencido, con la firma
abogado
El asesor después de efe
notificación, se dirige a la
6 Ingreso al sistema del valor notificado. ingresa el valor
notificado.

7 Devolución de carpetas. Devuelve las carpetas a Archivo

 EDM03

DEL VALLE"
ERACIÓN DE CARTERA

1A2 ALTO
3 MEDIO
4A5 BAJO

RIESGOS INTERNOS RIESGOS EXTERNOS

Riesgo de Riesgo de Riesgo de Riesgo de Riesgo de
Riesgo crediticio tasas altas fusiones informes catástrofes imagen Riesgo político
5

4 5
3
3
5
5
5
3
10 0 0 0 35 3 0

absoluta confidencialidad y reserva, de manera que no llegue a manos de terceras personas. La Cooperativa es la única
os nuevos datos e históricos son de su pertenencia.

n su base de datos y todos los nuevos datos e históricos son de su pertenencia.

o para lograr una colocación adecuada de los créditos.

e los procesos de crédito y cobranza.
niegue un crédito)
problemas del departamento de crédito.
os mediante la verificación de los informes de recuperación de cartera suministrados por contabilidad.
de caer en mora antes de su vencimiento, con la ayuda de reportes.
 "COOPERATIVA LUZ DEL Código
VALLE" PC002
Jefe de Créditos,
Asesor de Crédito,
Gerente, Asesor
Responsables: Jurídico.
a

DESCRIPCIÓN RESPONSABLE RIESGO

or de Crédito obtiene el Reporte
itos Vencidos Asesor de crédito ALTO
ma.
las carpetas de los
Asesor de crédito ALTO
morosos a Archivo.
o selecciona las carpetas Asesor de
crédito Jefe de
das y entrega a los Asesores. créditos MEDIO
or recibe las carpetas y
a el recorrido por zonas. Asesor de crédito MEDIO
: Al socio de un día de vencido
a: A los garantes de 10 días de
Asesor de crédito MEDIO
: Al socio y garantes de 20 días de
Al socio y garante de MEDIO
de vencido, con la firma del
osor después de efectuar la
ción, se dirige a la oficina e
el valor MEDIO

do. Asesor de crédito

ve las carpetas a Archivo. Asesor de crédito MEDIO

 FRECUENCIA

2
1
2
2
2
1
2
20

ativa es la única
 "COOPERATIVA LU
PLAN DE CONT

Posible Riesgo Análisis

Inicialmente la cartera de créditos vencidos,

que es de donde se desprende la posibilidad de
Cartera de Créditos que el crédito se vuelva incobrable, así como
también la falta de liquidez, y el impacto
financiero negativo.

Sin la recepción continua de recursos por parte

Movilidad del
de los socios, la entidad tendrá una baja notable
efectivo
de liquidez.
Al conocer que la entidad no cuenta con un
índice de liquidez estable, limitaría a los socios
Falta de liquidez
a acceder a nuevos créditos, o desconfianza en
la COAC.

La pérdida de información de los socios, lo que

Fallas en el sistema
retrasaría la atención cotidiana a los mismos
financiero
asociados.

Al no tomar en cuenta todos los aspectos de la

Inapropiado análisis situación económica, para brindar el crédito a
de la capacidad de ciertos socios, más adelante se
pago del socio estaría reflejando en el nivel de morosidad de
la Cooperativa.

Si no contaba con un seguro la Cooperativa

Fallecimiento del
Luz del Valle estaría aumentando su mora, al
socio que adeuda
no tener un responsable del crédito.
 Si no contaba con un seguro la Cooperativa
Fallecimiento del
Luz del Valle estaría aumentando su mora, al
socio que adeuda
no tener un responsable del crédito.

Nuevos productos, para no bajar el nivel de

liquidez y de cierta manera también la imagen
de la misma, por ello deben tener productos
Productos de ahorro que atraigan el interés de nuevos socios

Esta eventualidad negativa, se puede dar si los

socios residen en lugares de mucho riesgo, por
Desastres naturales
lo que la deuda sería difícil de cobrar y seguiría
aumentado la morosidad.

Cuando se tiene un alto nivel de morosidad hay

un cierto retraso en los procesos, por eso hay
Cobranza que buscar soluciones antes de pasar a trámite
judicial judicial.

Este riesgo suele ser muy alto sino se cuenta

Robo y fraude
con la debida seguridad, en todos los ámbitos.

La incertidumbre en la Cooperativa Luz del

Cambios en la Valle del sector Popular y Solidario es la
política (leyes) inestabilidad política del país, ya que existe el
mismo desequilibrio en las demás instituciones.

Estrategias para reducción del riesgo de crédito

v  Identificando y estudiando mejor a los socios y su capacidad de pago.

v  Provisiones crediticias, de acuerdo a lo que dispone la SEPS.
v  Realizando reuniones, donde haya intercambio de ideas sobre riesgos crediticio
v  Capacitando a los funcionarios de toda la Cooperativa Luz del Valle, sobre tem
v  Captando el interés de los socios con tasas de interés bajas, o realizando rifas en
v  Fomentando aún más la cultura de ahorro en los socios.
v  Obteniendo los suficientes respaldos de la información de los socios, en otro dis
v  Ubicación segura los equipos de computación donde se encuentre información f
v  Mejorando la imagen de la Cooperativa con nuevos productos financieros.
v  Disciplina financiera en toda la entidad.
 v  Manteniendo los documentos de garantía de créditos en una caja fuerte bajo cus
v  Acceder a una póliza de seguro que proteja la cartera de créditos en su totalidad
v  Acceso restringido y solo personal autorizado en el área financiera.
v  Contratar guardia de seguridad para toda la Cooperativa.

  Conocimiento del Plan de Contingencia

La Gerencia deberá coordinar con los funcionarios de la Cooperativa, quienes participen en

será expuesto ante todo el personal de la institución. Ante esto también se debe mant
inconvenientes al momento de aplicar los procesos de crédito de forma efectiva, y s

       Matriz de impacto financiero

INDICADORES
Aumento de capital por depósitos de
nuevos socios
Optimización de recursos
Estabilidad de la cartera vencida
Incremento de ingresos para la inversión
Liquidez de la COAC
TOTAL

  Matriz de impacto organizacional

INDICADORES
Mejor control de procesos de crédito y
Cobranza
Cultura Empresarial
Mejor Estructura Organizativa
Mitigación del Riesgo Crediticio
Adecuada toma de decisiones
Incremento de Rentabilidad
TOTAL

RECOMENDACIONES
v  Se tome en cuenta el Modelo de Gestión de
Riesgos, para dar un seguimiento continuo a
los riesgos existentes en la Cooperativa, y
mejorar sus procesos crediticios y así puedan
responder eficientemente a los riesgos
financieros y disminuir o establecer
normalmente la cartera vencida de la entidad.

v  Realizar las actualizaciones oportunas del

modelo de gestión de riesgos, para prevenir
contrariedades negativas en su utilización, así
también hacer reunionescontinuas con el
comité de crédito para evaluar a los socios que
se encuentren con problemas financieros
evitando así que se sobre-evalué la cartera y
solucionar de manera rápida los casos
judiciales y extrajudiciales.

v  Capacitar al personal del departamento de

crédito y cobranza, aplicando el modelo de
gestión de riesgos para que desarrollen con
responsabilidad y profesionalismo las
actividades a ellos encomendadas, e
informarles sobre las sanciones a las que están
expuestos en caso de incumplimiento, para de
esta manera mejorar el servicio y normalizar la
liquidez de la Cooperativa.

PLAN DE CONTINGENCIAS

ACTIVIDAD

Reunión con los directivos

sobre temas de riesgo crediticio.

Provisiones crediticias
 Capacitación al personal de la COAC, sobre
temas de administración de riesgos.

Estrategias de ahorro: rifas

y tasas de interés bajas.
Protección de documentos
de garantía en caja fuerte.
Póliza de seguro para proteger toda la cartera
de
créditos.
Servicio de seguridad para
la Cooperativa.

Conocimiento a la Cooperativa del Plan de

Contingencia Crediticio.

POLÍTICA

Nº DISPOSICIONES LEGALES
Ley Orgánica de Economía Popular y Solidaria
2014.
"COOPERATIVA LUZ DEL VALLE"
PLAN DE CONTINGENCIA

Posible
Solución

-Controles diarios de la
cartera vencida.

-Reportes diarios por

parte del asesor.
-Publicidad de los
servicios en medios de
comunicación.
-Aplicando las
estrategias de crédito.
-Cumpliendo los
procesos.

-Respaldos constantes de
la información
financiera.

-Estudio minucioso de
los ingresos del socio,
con documentos de
respaldo confiables.

Póliza de seguro de
desgrávame.
 Póliza de seguro de
desgrávame.

-Cuenta Infantil.

-Inversiones a plazo fijo

desde nuevos montos.
-Mejor estudio de la zona
de vivienda de los
socios.

-Seguro contra incendios

-Análisis individual de
las gestiones de cobro.
-Archivo actualizado de
los procesos cerrados.

-Personal confiable

-Personal de seguridad
-Contraseñas solo
personal autorizado.
-Actualización constante
y
cumplimiento de nuevas
disposiciones.

de crédito

u capacidad de pago.
one la SEPS.
e ideas sobre riesgos crediticios con todos los directivos de la Cooperativa “ Cooperativa Luz del Valle"
erativa Luz del Valle, sobre temas de administración de riesgos crediticios.
erés bajas, o realizando rifas en fechas especiales.

mación de los socios, en otro dispositivo, que no sea el sistema financiero.

onde se encuentre información financiera.
vos productos financieros.
ditos en una caja fuerte bajo custodia.
rtera de créditos en su totalidad.
el área financiera.

operativa, quienes participen en la revisión y aprobación del plan de contingencia, el que posteriormente
Ante esto también se debe mantener actualizado el manual de crédito y cobranza, para que no haya
e crédito de forma efectiva, y se pueda recuperar de mejor manera la cartera vencida de créditos.

3 2 1 0

X
X
X
X

3 2 1 0

X
X
X
X
X
 RECURSOS ÁREA
COSTO RESPONSAB
NECESARIOS
LE
Gerencia
Reuniones $50.00 Contabilidad
Crédito y
Cobranza
Crédito y
Según la SEPS. -------
Cobranza
Por parte de las
siguientes entidades:
cada 3 meses
CEDECOOP, Gerencia
COORSCOOP, Contabilidad
FECOAC,
CODESARROLLO. $100.00
Varios Gerencia
$6,000.00
electrodomésticos Contabilidad
Seguro contra Gerencia
$1,000.00
incendios o robo. Contabilidad

Gerencia
Póliza de seguro $1,500.00
Contabilidad

Guardia de Gerencia
$354.00
seguridad Contabilidad
Gerencia
Contabilidad
Trípticos $50.00
Crédito y
Cobranza

TÍTULO CAPÍTULO/
DETALLE
SECCIÓN

Art. 146.Superintendencia de
Economía Popular y Solidaria.- El
control de la Economía Popular y
Solidaria y del Sector Financiero
Popular y Solidario estará a cargo de la
Superintendencia de Economía
Popular y Solidaria, que se crea como
organismo técnico, con jurisdicción
Capítulo III Del Control nacional, personalidad jurídica de
derecho público, patrimonio propio y
autonomía administrativa y financiera
y con jurisdicción coactiva.

La Superintendencia tendrá la facultad

de expedir normas de carácter general
en las materias propias de su
competencia, sin que puedan alterar o
innovar lasdisposiciones legales.
 Título III Del Sector
Financiero Popular y
Solidario Capítulo I de
las Organizaciones del Art. 79. Tasas de interés.- Las tasas
Sector Financiero y de de interés máximas activas y pasivas
Economía Popular y que fijarán en sus operaciones las
Solidaria organizaciones del Sector Financiero
Popular y Solidario serán las
determinadas por la Junta de Política y
Regulación Monetaria y Financiera.

Art. ....- La Superintendencia de

Economía Popular y Solidaria
establecerá las políticas y la forma en
que las instituciones del sistema
popular y solidario deben entregar la
información al Registro Crediticio del
Sistema Nacional del Registro de
Datos Públicos. Las instituciones del
Sistema Financiero de la Economía
Popular y Solidaria proporcionarán
únicamente al Registro Crediticio del
Sistema Nacional del Registro de
Capítulo III Del Registro
Datos Públicos los registros de datos
Crediticio
de la información referente al
historial crediticio. Se prohíbe
entregar esta información a cualquier
otra institución que no sean las
determinadas en esta Ley.
La Superintendencia de la Economía
Popular y Solidaria podrá acceder en
todo momento a los datos contenidos
en el registro Crediticio para cumplir
sus deberes y obligaciones establecidos
en la Constitución y la ley.
EDM03
 -1 -2 -3 ∑

3
3
3
3
15

-1 -2 -3 ∑

2
2
3
2
3
15