Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Escuela de Auditoría
INTRODUCCIÓN................................................................................................................. 8
CONCLUSIONES ............................................................................................................... 29
INTRODUCCIÓN
El presente trabajo consta de una parte teórica y práctica las matrices de riesgos y gestión de
comunes utilizados.
utilizada para identificar las actividades (procesos y productos) más importantes de una
empresa, el tipo y nivel de riesgos inherentes a estas actividades y los factores exógenos y
endógenos relacionados con estos riesgos (factores de riesgo). Igualmente, una matriz de
riesgo permite evaluar la efectividad de una adecuada gestión y administración de los riesgos
financieros que pudieran impactar los resultados y por ende al logro de los objetivos de una
organización.
riesgos, tanto financieros como operativos y estratégicos, que están impactando en la misión
i
3
MATRICES DE RIESGOS
Conceptos:
Es una herramienta de gestión que permite determinar objetivamente cuáles son los riesgos
relevantes para la seguridad y salud de los trabajadores que enfrenta una organización y
La matriz debe ser una herramienta flexible que documente los procesos y evalúe de manera
integral el riesgo de una institución, a partir de los cuales se realiza un diagnóstico objetivo
de la situación global de riesgo de una entidad. Exige la participación activa de las unidades
de la empresa. Una efectiva matriz de riesgo permite hacer comparaciones objetivas entre
Una matriz de riesgos es una sencilla pero eficaz herramienta para identificar los
riesgos más significativos inherentes a las actividades de una empresa, tanto de procesos
Por lo tanto, es un instrumento válido para mejorar el control de riesgos y la seguridad de una
Con el fin de garantizar su eficacia y utilidad, una matriz de riesgo debe tenerlas siguientes
4
características:
Factor de riesgo: Elementos internos o externos que se conjugan entre sí paradar nacimiento
al riesgo;
riesgo;
Control existente: Detalle del control interno que la organización tiene implementado para
Nivel de riesgo: Es la calificación entre alto, moderado y bajo, de acuerdo al nivel o impacto
Responsables: Son los encargados de adelantar las acciones propuestas paramitigar el riesgo;
Apetito de riesgo: Es el máximo riesgo que una organización puede aceptar para lograr sus
objetivos.
1. Identificación de riesgos
y de los riesgos inherentes a estas. De una manera general, se puede entender como riesgos la
posibilidad de que a una empresa le sea imposible cumplir con alguno de sus objetivos. Una
vez establecidas todas las actividades, ya es posible prever los posibles riesgos y los motivos
ocurra, así como un cálculo de los efectos potenciales del mismo. Se trata, por lo tanto, de
normalmente valores numéricos o estadísticos, lo que ayuda a tener una base sólida para que
La verdadera utilidad de la matriz de riesgos radica en que ofrezca la posibilidad de tener una
6
idea general de los riesgos de una empresa y la posibilidad de que ocurran con tan solo
echarle un vistazo.
Sirve para analizar el nivel de riesgo presente en los trabajos, para comparar por nivel de
riesgo diferentes tareas, para proponer acciones concretas para disminuir los riesgos y para
estimar el impacto que estas acciones tendrán sobre el nivel de riesgo de los trabajadores.
¿Cuándo se usa?
Se debe utilizar cada vez que se implemente una tarea nueva, cada vez que se cambie un
procedimiento y por lo menos una vez al año como parte de la gestión de seguridad para
¿Cómo se usa?
La Matriz de Riegos se llena de izquierda a derecha completando los campos que indica de la
siguiente forma:
conveniente tener un listado de todas las actividades que se ejecutan, sean estas
de todos los días; no rutinaria (NR) si es que se desarrolla con poca frecuencia; o
esporádica (E) si es que se realiza muy pocas veces pero se ha hecho antes y pudiera
7
volver a hacerse.
c) Peligro: En este campo se listan todos los peligros que implican larealización de esta
d) Tipo de Peligro: Este campo sirve para discriminar los peligros por tipo o factor. En
f) Tipo de riesgo: Distingue los tipos de riesgo por seguridad o salud ocupacional, esto
g) Medidas de control existentes: En este campo se listan todas las medidas de control
que se tienen para la actividad en cuestión. Se debe considerar que las medidas de
h) Índice de personas expuestas: Según la tabla que está en la parte baja se colocará el
existen procedimientos.
el de severidad.
impacto de estas últimas medidas de control propuestas y se debe esperar a que los riesgos
que una determinada entidad no pueda cumplir con uno o más de los objetivos.
9
Consecuentemente, una vez establecidas todas las actividades, se deben identificar las fuentes
negocio o de la economía que puedan impactar una actividad. Los factores o riesgos
inherentes pueden no tener el mismo impacto sobre el riesgo agregado, siendo algunos más
relevantes que otros, por lo que surge la necesidad de ponderar y priorizar los riesgos
primarios. Los riesgos inherentes al negocio de las entidades financieras pueden ser
normativos estratégicos2.
descriptivas para evaluar la probabilidad de ocurrencia de cada evento. En general este tipo de
los resultados, la valorización cualitativa se utiliza como una evaluación inicial para
definitivamente podría brindar una base más sólida para la toma de decisiones, esto
el pasado, con lo cual se obtiene una mejor aproximación a la probabilidad de ocurrencia del
evento.
La valorización consiste en asignar a los riesgos calificaciones dentro de un rango, que podría
ser por ejemplo de 1 a 5 (insignificante (1), baja (2), media (3), moderada (4) o alta (5),
Una vez que los riesgos han sido valorizados se procede a evaluar la “calidad de la gestión”, a
fin de determinar cuán eficaces son los controles establecidos por la empresa para mitigar los
riesgos identificados. En la medida que los controles sean más eficientes y la gestión de
riesgos pro-activa, el indicador de riesgo inherente neto tiende a disminuir. Por ejemplo, una
siguiente:
Finalmente, se calcula el “riesgo neto o residual”, que resulta de la relación entre el grado
establecida por la administración. A partir del análisis y determinación del riesgo residual los
En el siguiente cuadro se muestra un ejemplo para calcular el riesgo neto o residual utilizando
El cuadro anterior muestra en forma consolidada, los riesgos inherentes a una actividad o
línea de negocio, el nivel o grado de riesgo ordenado de mayor a menor nivel de riesgo
finalmente, se expone el valor del riesgo residual para cada riesgo y un promedio total que
conocimiento profundo del negocio y su entorno y un buen juicio de valor, pero además es
riesgos, debido a que la misma les permite efectuar una evaluación cualitativa y cuantitativa
Los beneficios de esta metodología de supervisión, entre otros, son los siguientes:
riesgo.
de las entidades.
f) Monitoreo continuo.
CONTROL INTERNO
administración y otro personal para proporcionar seguridad razonable sobre el logro de los
El control interno constituye una de las fases primordiales de la administración, en virtud que
constituyen una serie de acciones que se llevan a cabo antes, durante y después de realizar
Cada vez existe un mayor reconocimiento sobre la importancia del control interno en una
de una seguridad razonable y crea expectativas de mejoras continuas para llevar a cabo sus
metas. Éste nace y crece dentro del ámbito de la organización, por lo tanto su implementación
Por medio de un adecuado sistema de control interno, la organización puede medir la eficacia
disminuirá las pruebas o procedimientos que necesita aplicar para verificar si los
interno diseñados para lograr un uso óptimo deben poseer las siguientes características:
control interno ante su jefe inmediato de acuerdo con los niveles de autoridad
establecidos.
Ambiente de control
financiera y su comunicación.
Actividades de control
Monitoreo de controles
1. Ambiente de control
los encargados del gobierno corporativo respecto del control interno de la entidad y su
importancia en la entidad. El ambiente de control también incluye las funciones del gobierno
Al evaluar el diseño del ambiente de control, el auditor considera los siguientes elementos y
necesarios para lograr tareas que definen el puesto de las personas que colaboran para
la administración abarcan una amplia gama de características, las cuales incluyen los
contabilización.
recursos proporcionados para llevar a cabo los deberes. Además, incluye políticas y
acciones correctivas.
El proceso de evaluación de riesgos por una entidad es su proceso para identificar y responder
proceso de evaluación del riesgo por la entidad incluye cómo identifica la administración los
riesgos relevantes para la preparación de estados financieros que den un punto de vista
externos e internos que pueden ocurrir y afectar de manera adversa la capacidad de una
entidad para iniciar, registrar, procesar e informar datos financieros consistentes con las
Los riesgos pueden surgir o cambiar debido a circunstancias como las siguientes:
significativamente diferentes.
transacciones de negocios con las que tiene poca experiencia la entidad puede traer
extranjeras acarrea riesgos nuevos y a menudo únicos, que pueden afectar al control
extranjera.
estados financieros.
sobre ellas.
administración.
4. Actividades de control
Actividades de control son las políticas y procedimientos que ayudan a asegurar que las
directivas de la administración se llevan a cabo, por ejemplo, que se toman las acciones
necesarias para atender a los riesgos que amenazan el logro de los objetivos de la entidad.
Generalmente, las actividades de control que pueden ser relevantes para una auditoría pueden
relacionar diferentes conjuntos de datos operativos y financieros entre sí, junto con
actividad.
Estos controles ayudan asegurar que ocurrieron las transacciones, que están
de control.
El grado en que los controles físicos que se proponen prevenir robo de activos son
tanto, para la auditoría, depende de circunstancias como cuando los activos son
tanto de perpetrar como de ocultar errores o fraude en el curso normal de los deberes
de la persona.
23
5. Monitoreo de controles
como se planeó y que éstos se modifican según sea apropiado por cambios en las
condiciones.
El monitoreo de los controles es un proceso para evaluar la calidad del desempeño del
Control Interno después de un tiempo. Implica evaluar el diseño y operación de los controles
de manera puntual y tomar las acciones correctivas necesarias. El monitoreo se hace para
integral de riesgos. Este proyecto se inició en enero 2001 con el objeto de desarrollar un
marco global para evaluar y mejorar el proceso de administración de riesgo, reconoce que
riesgos.
organización, aplicado desde la definición estratégica hasta las actividades del día a día,
administrar los riesgos dentro de un nivel de aceptación con el objetivo de proporcionar una
En el marco de gestión integral de riesgos desarrollado por COSO II, existe un relación
directa entre los objetivos (aquellos que la organización trata de alcanzar), los componentes o
para el logro de dichos objetivos), así como con cada uno de los niveles de la organización.
a) Estratégicos: Referidos a metas de alto nivel, alineadas y que permitan dar soporte a
están representadas por las columnas verticales; los ocho componentes están representados
por las filas horizontales; y por último consideran las actividades de todas las unidades de la
entidad, mismas que están representadas por la tercera dimensión del cubo.
25
Ambiente interno
Definición de objetivos
Identificación de eventos
26
Definición de riesgos
Actividades de control
Información y comunicación
Monitoreo y supervisión
Ambiente Interno
El ambiente interno abarca el talante de una organización, que influye en la conciencia de sus
empleados sobre el riesgo y forma la base de los otros componentes de la gestión de riesgos
Establecimientos de objetivos
Los objetivos se fijan a escala estratégica, se debe establecer con ellos una base para los
identificación eficaz de eventos, la evaluación de sus riesgos y la respuesta a ellos es fijar los
objetivos, que tiene que estar alineados con el riesgo aceptado por la entidad, que orienta a su
Identificación de eventos
organización para implantar la estrategia y lograr los objetivos con éxito. Los eventos con
Los eventos con impacto positivo representan oportunidades, que la dirección reconduce
dirección contempla una serie de factores internos y externos que pueden dar lugar a riesgos y
Evaluación de riesgos
La evaluación de riesgos permite a una entidad considerar la amplitud con que los eventos
acontecimientos desde una doble perspectiva probabilidad e impacto y normalmente usa una
entidad.
Riesgo residual: Es aquel que permanece después que la dirección desarrolle sus respuestas
a los riesgos.
Una vez evaluados los riesgos relevantes, la dirección determina como responder a ellos. Las
respuestas pueden ser las de evitar, reducir, compartir y aceptar el riesgo. Al considerar su
respuesta, la dirección evalúa su efecto sobre la probabilidad e impacto del riesgo. Así como
28
los costes y beneficios, y selecciona aquella que sitúe el riesgo residual dentro de las
Actividades de control
Las actividades de control son las políticas y procedimientos que ayudan a asegurar que se
llevan a cabo las respuestas de la dirección a los riesgos. Las actividades de control tienen
lugar a través de la organización, a todos los niveles y en todas las funciones. Incluyen una
segregación de funciones.
Información y comunicación
tiempo que permiten a las personas llevar a cabo sus responsabilidades. Una comunicación
efectiva debe producirse en un sentido amplio, fluyendo hacia abajo, a través, y hacia arriba
de la entidad.
Supervisión
CONCLUSIONES
Una matriz de riesgo constituye una herramienta de control y de gestión muy interesante para
los factores exógenos y endógenos relacionados con estos riesgos. Todo ello permite
Como se puede observar la relación de componentes de control entre lo que menciona NIA
315 del control interno y el marco de gestión de riesgos son los siguientes: Ambiente interno,
norma no lo considera.
30
REFERENCIAS BIBLIOGRÁFICAS
http://gestiopolis.com/recursos6/Docs/Fin/finanzas-control-interno.htm
2. Evaluación de riesgos bajo el informe modelo COSO ERM por la auditoría interna de
galvez-de-guatemala/auditoria/matriz-de-riesgos/8051209