UNIVERSIDAD DE SAN CARLOS DE GUATEMALA

FACULTAD DE CIENCIAS ECONÓMICAS

ESCUELA DE AUDITORÍA
SEMINARIO INTEGRADOR PROFESIONAL
DOCENTE TITULAR: DINA ELIZABETH VARGAS REYES
DOCENTE AUXILIAR: KEILA ESTÉVEZ

MATRICES DE RIESGOS – GESTIÓN DE RIESGOS

Rosa Elena Morales Rivera - 200813446

Vivian Lisbeth García del Cid 201505470
Kevin Oswaldo Pineda Chuc 201606613
Amanda Vannesa Vásquez Colindres 201704713
Guísela Aimeé Morataya Juarez 201704720
Jeymi Andrea Ruiz Ortiz 201704766
Blanca Izabel Pérez Méndez 201710266
Juana Gabriela González Pixtún 201710254
Asbel Fernando Chanay Arias 201710482
Josué Rolando Monterroso Manrique 201712366

SALÓN: 207

GUATEMALA, 30 DE MARZO 2022

 COORDINADOR: Juana Gabriela González Pixtún
EVALUACIÓN
BAJA - MEDIA - ALTA -
NOMBRE CARNÉ OBSERVACIÓN
0 PTS. 5PTS. 10 PTS.

Rosa Elena Morales 200813446 10

Vivian García del Cid 201505470 10
Kevin Pineda 201606613 10
Amanda Vásquez 201704713 10
Guísela Morataya 201704720 10
Jeymi Ruiz 201704766 10
Blanca Pérez 201710266 10
Juana Gabriela González 201710254 10
Asbel Chanay 201710482 10
Josué Monterroso 201712366 10
 ÍNDICE

Introducción .......................................................................................................... i
CAPÍTULO I........................................................................................................... 1
Generalidades ................................................................................................... 1
1.1 Definición de matriz de riesgo ............................................................ 1
1.2 Características de una matriz de riesgos............................................... 1
1.3 Datos necesarios para elaborar una matriz de riesgo .......................... 2
1.4 Pasos para la elaboración de una matriz de riesgo .............................. 2
1.4.1 Identificación de riesgos ................................................................... 2
1.5.2 Evaluar la probabilidad de que se acabe confirmando el riesgo ... 2
1.6 Componentes de una matriz de riesgos ................................................ 3
1.7 Acciones de respuesta a riesgos ........................................................... 4
CAPITULO II.......................................................................................................... 5
Base del Sistema de Gestión de Riesgos .......................................................... 5
2.1 Ambiente interno ........................................................................................ 5
2.2 Los objetivos estratégicos y el riesgo ...................................................... 6
2.2.1 Operaciones .......................................................................................... 6
2.2.1 Información financiera ......................................................................... 7
2.2.3 Cumplimiento ........................................................................................ 7
2.3 Marco conceptual de la gestión de riesgo ................................................ 7
2.4 Análisis de riesgo ....................................................................................... 8
2.5 Principales riesgos y problemas ............................................................... 8
2.6 La gestión de riesgo ................................................................................... 8
2.6.1 Riesgo inherente y residual ................................................................. 9
2.6.2 Riesgo de control ................................................................................. 9
2.6.3 Riesgos de detección ......................................................................... 10
2.7 Modelos de gestión de riesgos ................................................................ 10
2.8 Elementos principales .............................................................................. 11
2.8.1 Establecer el contexto ........................................................................ 11
2.8.2 Identificación de riesgos .................................................................... 11
2.8.3 Análisis de riesgos ............................................................................. 11
2.8.4 Evaluación de riesgos ........................................................................ 11
2.8.5 Tratamiento de riesgos ...................................................................... 12
2.8.6 Monitorear y revisar ........................................................................... 12
2.8.7 Comunicación y consulta .................................................................. 12
2.9 Metodología para la administración de riesgo directrices generales ... 12
2.9.1 Valoración del Riesgo ........................................................................ 13
2.9.2 Manejo del riesgo ............................................................................... 13
2.10 ¿Quién lidera el proceso de gestión del riesgo? .................................. 13
 2.11 ¿Cuál es el proceso de identificación de riesgo? ................................ 14
2.12 ¿Qué tipo de información de riesgo se reporta? .................................. 15
2.13 ¿Cuán efectiva es la supervisión del consejo de la evaluación de
riesgos?........................................................................................................... 16
2.14 ¿Qué tan efectivo es el manejo de riesgos de gestión? ...................... 17
2.15 Plan de Manejo de Riesgos .................................................................... 18
2.16 Elaboración del mapa de riesgos y problemas potenciales ................ 18
2.17 Monitoreo ................................................................................................ 18
2.18 Autoevaluación ....................................................................................... 19
CAPITULO III....................................................................................................... 20
Caso Práctico ..................................................................................................... 20
Conclusiones ..................................................................................................... 32
Recomendaciones ............................................................................................. 33
Referencias......................................................................................................... 34
 Introducción

La presente investigación trata acerca del desarrollo de las matrices de riesgo

como herramienta en la identificación y gestión de los riesgos en una entidad el
cual es un tema de interés en el ámbito profesional y académico que debe ser de
nuestro conocimiento como estudiantes del onceavo semestre de la carrera de
Contaduría Pública y Auditoría de la Universidad de San Carlos de Guatemala.

Un riesgo es aquella probabilidad de que un evento negativo ocurra y este se

encuentra compuesto por la amenaza y la vulnerabilidad, es por ello que durante
el funcionamiento de una entidad la anticipación a los riesgos se vuelve una
necesidad con el fin de disminuir sus impactos, siendo posible por medio de la
implementación de herramientas de control y análisis de la situación actual de
esta.

Una de estas herramientas son las matrices de riesgo, que permiten la

identificación de los riesgos a los que se encuentra expuesta en cuestión de
probabilidad y magnitud con el fin de establecer el nivel de importancia para la
aplicación de medidas de control que contribuyan a su mitigación o prevención.

Su presentación se realiza por medio de un mapa de calor para una presentación

de los resultados con fácil visualización.

El contenido de esta investigación se encuentra estructurado de la siguiente

forma:

El capítulo I, presenta la definición, características y la información necesaria para

comprender el funcionamiento e importancia de una matriz de riesgo.

i
En el capítulo II, abordaremos varios conceptos e información acerca de nuestro
tema de investigación con la finalidad de conocerlo.

En el capítulo III, se presenta el desarrollo de un caso práctico relacionado con la

evaluación de riesgos del sistema informático de una entidad por medio de
matrices.

ii
 CAPÍTULO I
Generalidades
1.1 Definición de matriz de riesgo

Una matriz de riesgos es una herramienta que se utiliza para la identificación de

cualquier tipo de riesgo en relación con las actividades de una empresa, ya sean estos,
parte de la seguridad y salud en el trabajo o de otros aspectos, como: Fabricación de
productos, implementación de servicios, entre otros.

Una matriz de riesgos, conocida también como “Matriz de Probabilidad de Impacto”, es

una herramienta, útil para toda empresa, que le permite identificar los riesgos a los que
está expuesta. De esa forma, las compañías pueden determinar los niveles aceptables
de exposición a aquellos, así como establecer el control apropiado frente a los mismos
y monitorear la efectividad del método de control elegido.

Físicamente, es una guía visual que permite, mediante su diseño, una rápida
identificación de las prioridades que deben ser atendidas. De esa forma también
acelera la toma de decisiones.

1.2 Características de una matriz de riesgos

Una matriz de riesgo debe presentar ciertas características para que pueda cumplir su
función, estas son:

• Debe ser sencilla tanto en la forma cómo se elabore, como en la que se consulte. Y
es que, como se ha dicho antes, se hace con el objetivo de facilitar la toma de
decisiones y ordenar prioridades.

• Debe ser flexible en la que se puedan documentar los diferentes procesos de la

empresa, así como evaluar de forma global los riesgos de aquella.

• Debe permitir hacer comparaciones entre diferentes proyectos, áreas, actividades,

etc.
• Debe permitir realizar un diagnóstico objetivo de todos los factores de riesgo del
negocio.

1.3 Datos necesarios para elaborar una matriz de riesgo

Para poder hacer una matriz de riesgo, primero hay que identificar las actividades
principales del negocio y los riesgos propios de aquellas. En un segundo paso, se
tienen que evaluar las probabilidades de que el riesgo ocurra, así como las
consecuencias de este. Finalmente se debe hacer una representación de la matriz de
riesgos; esta suele hacerse en forma de tabla, lo que facilita su visualización. (RSM
International Association, s.f.)

1.4 Pasos para la elaboración de una matriz de riesgo

1.4.1 Identificación de riesgos

El primer paso consiste en la identificación de las actividades principales de una

organización y de los riesgos inherentes a estas. De una manera general, se puede
entender como riesgos la posibilidad de que a una empresa le sea imposible cumplir
con alguno de sus objetivos.

Una vez establecidas todas las actividades, ya es posible prever los posibles riesgos y
los motivos o factores que intervienen en su manifestación y grado, distinguiéndose en
riesgos intrínsecos, que serían aquellos que provienen directamente de la propia
empresa, y extrínsecos, factores de incertidumbre provocados por eventos externos o
macro económicos que pueden tener un impacto sobre la actividad de nuestra
empresa.

1.5.2 Evaluar la probabilidad de que se acabe confirmando el riesgo

El siguiente paso consistiría en determinar la probabilidad de que, efectivamente, el
riesgo ocurra, así como un cálculo de los efectos potenciales del mismo. Se trata, por lo
tanto, de una valorización del riesgo, lo cual implica un análisis conjunto e
interrelacionado de la probabilidad de ocurrencia y del efecto en los resultados globales
de la empresa.

2
Los riesgos se pueden valorar en términos cualitativos o cuantitativos, utilizando
normalmente valores numéricos o estadísticos, lo que ayuda a tener una base sólida
para que la dirección o responsables de la empresa o negocio puedan tomar las
decisiones pertinentes.

1.5.3 Representación de la matriz de riesgos

La verdadera utilidad de la matriz de riesgos radica en que ofrezca la posibilidad de
tener una idea general de los riesgos de una empresa y la posibilidad de que ocurran
con tan solo echarle un vistazo.

Por este motivo, la representación de la matriz debe ser en forma de tablas no

demasiado complejas donde aparezcan los riesgos, probabilidad de ocurrencia,
gravedad de los mismos y, si se desea, acciones para solucionarlos y mitigarlos.
Existen aplicaciones informáticas específicas para facilitar su elaboración.

Una matriz de riesgo constituye una herramienta de control y de gestión muy

interesante para identificar actividades empresariales, asociándolas a riesgos
diferenciados por tipo y nivel y a los factores exógenos y endógenos relacionados con
estos riesgos. Todo ello permite la organización de un Sistema Integral de Gestión de
Riesgo. (ISO TOOLS EXCELLENCE, s.f.)

1.6 Componentes de una matriz de riesgos

La matriz de riesgos se compone generalmente de los siguientes elementos:

 ID: Un código o número identificador del riesgo.

 Riesgo: Descripción detallada del riesgo.
 Posible resultado: Descripción específica sobre cuál sería el efecto del riesgo en
el proyecto en caso de este ocurra.
 Síntoma: Identifica y describe una señal de alarma o advertencia de que el
riesgo puede ocurrir. Es importante mencionar que no todos los riesgos tienen
síntomas.
 Probabilidad: Evalúa la probabilidad de que el riesgo suceda. Esta probabilidad
puede ser alta, media o baja dependiendo del riesgo.

3
  Impacto: Evalúa el grado de impacto en el proyecto en caso de que el riesgo
ocurra. Este impacto puede ser alto, medio o bajo dependiendo del riesgo en sí
mismo.
 Prioridad: Prioriza los riesgos en una escala de 1 al 9 con ayuda de la matriz de
impacto y probabilidad (figura 2), donde 1 indica el nivel máximo crítico y 9 el
nivel mínimo.
 Respuestas: Especifica la acción que el equipo de proyecto llevará a cabo para
eliminar, trasladar o mitigar el riesgo.
 Responsable: Nombre o rol del responsable de llevar a cabo la acción de
respuesta al riesgo.

1.7 Acciones de respuesta a riesgos

La planificación de las respuestas a los riesgos es el proceso por el cual se desarrollan
alternativas y se definen acciones para disminuir el impacto del riesgo sobre el
proyecto. Las respuestas al riesgo tienen que ser consistentes con la importancia del
riesgo, ser aplicadas en el momento adecuado, ser realistas, ser acordadas por todas
las partes implicadas y tener un costo efectivo en relación con el riesgo.

Las cuatro respuestas básicas de la gestión de riesgos son las siguientes:

Aceptar: Admitir si el impacto del riesgo es mínimo o el costo para mitigarlo es mayor al
costo del impacto del riesgo.

Transferir: Trasladar todo el riesgo a terceros para disminuir el riesgo en el proyecto.

Mitigar: Disminuir la probabilidad de que se produzca el riesgo al establecer acciones

anticipadas para evitar que suceda.

Evitar: Contrarrestar los riesgos que van surgiendo mediante estrategias. Esto puede
implicar cambios en el cronograma o el alcance del proyecto para eliminar la amenaza
del riesgo. (SCRIB, s.f.)

4
 CAPITULO II
Base del Sistema de Gestión de Riesgos

La gestión de los riesgos implica realizar cambios en la toma de decisiones, en la

eliminación de ciertos paradigmas y creación de la cultura de gestión de riesgos, en
todos los niveles dentro de la entidad, iniciando en la alta dirección alcanzando hasta el
último nivel de la entidad.

Gestionar los riesgos requiere del establecimiento formal de un proceso que permita de
forma clara, técnica y sencilla la evaluación y análisis de los mismos.

Para poder establecer el proceso de gestión de riesgos, la alta dirección debe estar
plenamente convencida que para el fortalecimiento de los procesos de la entidad que
gobiernan, para esto es necesario analizar y evaluar los riesgos; identificar los riesgos,
es una labor que requiere de una comprensión exhaustiva del entorno interno y externo
en el cual se realiza el proceso.

La Gestión de Riesgos Corporativos o ERM (Enterprise Risk Management) cuentan con

ocho componentes que se relacionan entre sí y se derivan de la manera en que la alta
dirección conduce la empresa y como se integran en el procedo de la gestión.

2.1 Ambiente interno

En este ambiente de control establece el tono de la organización, para poder influenciar

la conciencia de control de su gente. Es el fundamento de todos los demás
componentes del control interno, proporcionando disciplina y estructura. Los factores
del ambiente de control incluyen la integridad, los valores éticos y la competencia de la
gente de la entidad.

El ambiente de control es más que la manera de cómo se estructuran los negocios, de

cómo se establecen los objetivos y se valoran los riesgos. Así mismo es la conducta de
las personas, la influencia del pensamiento estratégico sobre las personas, es decir, los
valores éticos, la moralidad, la entrega de la gente a las funciones que se le confieren y
la convicción del más alto funcionario, la filosofía y el funcionamiento que propicia el
control interno para el desarrollo de las actividades.

El control interno se debe definir como el proceso realizado por la máxima autoridad,
los administradores y demás personal, diseñado para proporcionar seguridad razonable
para el cumplimiento de los objetivos.

2.2 Los objetivos estratégicos y el riesgo

Los riesgos son inherentes a los negocios y, por ende, a los procesos que permiten
desarrollar. Los objetivos deben existir antes de que la alta dirección pueda identificar
potenciales eventos que afecten su consecución.

Estos objetivos son cuidadosamente seleccionados y deben estar alineados con la

misión y visión institucional y estar a tono con el riesgo aceptado por la entidad.
Instituciones como los Bancos, al igual que empresas públicas y privadas, sin importar
su tamaño o actividad mercantil, establecen objetivos y metas estratégicas.

Los objetivos, se pueden clasificar en tres categorías: de Operaciones, de Información

Financiera y de Cumplimiento:

2.2.1 Operaciones

Estos objetivos se relacionan con la consecución de la misión de la entidad, su razón

de ser. Están dirigidos a fortalecer la eficiencia de las operaciones y orientan a la
entidad hacia sus metas previstas.

6
2.2.1 Información financiera

Se refiere a que los estados financieros de la entidad, informes internos, datos y aún
los registros auxiliares sean confiables. La importancia de este objetivo radica en que
esta información es utilizada por diferentes usuarios para distintos propósitos.

2.2.3 Cumplimiento

Todas las actividades, actuaciones y acciones específicas que realiza una entidad,
responden a un marco legal, a leyes y regulaciones aplicables. Estas regulaciones
pueden ser de índole interna de un país, propias de la entidad e internacionales por
haber sido adoptadas por la entidad y por la naturaleza misma de las operaciones o
actividades que realiza.

Los objetivos de una categoría pueden cubrir o soportar objetivos de otras, por lo tanto,
los riesgos que pudiesen afectar a uno, tienen efecto sobre otro o el resto, lo que puede
desencadenar un proceso de tipo “dominó”, puesto que los objetivos estratégicos están
vinculados entre sí, y se han establecido para cumplir la misión de la entidad (Cañas
Pacheco, 2009).

2.3 Marco conceptual de la gestión de riesgo

La medida del riesgo abarca dos dimensiones básicas: la probabilidad de que se

produzca la amenaza que nos acecha, que se puede expresar en términos de
frecuencia o, mejor en términos de frecuencia relativa, y la severidad con que se
produzca dicha amenaza o consecuencias.

7
2.4 Análisis de riesgo

El análisis de riesgo es una herramienta destinada a ordenar la toma de decisiones

proporcionando un proceso lógico, estructurado y consistente, utilizado desde hace
mucho tiempo en distintas áreas de la ingeniería y la economía.

El análisis de riesgo consta de tres etapas: identificación del riesgo, evaluación del
riesgo y gestión del riesgo. Siendo la evaluación del riesgo la etapa del análisis en que
se intenta estimar el riesgo asociado a una eventualidad.

Se establece como válidos tanto el método de evaluación cualitativa como el de

evaluación cuantitativa definiendo cada uno a partir de la forma como se expresa el
resultado final del análisis; evaluación cualitativa del riesgo es aquella donde la
probabilidad del incidente y la magnitud de sus consecuencias se expresan en términos
cualitativos como: muy alta, alta, mediana, baja o insignificante, mientras que en la
evaluación cuantitativa los resultados se expresan en cifras.

2.5 Principales riesgos y problemas

El riesgo está presente en todo hecho contingente o incierto, y como tal sólo es posible
estimar su probabilidad de ocurrencia y realizar una predicción que, por lo tanto, será
inexacta. El concepto de riesgos en los ámbitos técnicos, administrativos y financieros,
puede ser clasificado de muchas formas; cada una de las cuales origina teorías y
análisis particulares y a su vez diferentes.

2.6 La gestión de riesgo

La gestión de riesgo es una parte importante dentro del ejercicio de auditoría, esto
supone entender de qué manera se desarrolla el riesgo a nivel empresarial y las
implicaciones positivas o negativas que pueden significar.

Para empezar, el riesgo se entiende como una probabilidad de que ciertas situaciones
se conviertan en amenazas para el funcionamiento de la empresa. La gestión de esta

8
probabilidad supone la evaluación del nivel de vulnerabilidad de las organizaciones
frente a estas amenazas y requiere de tres fases específicas: identificación, evaluación
y control de los riesgos.

Los tipos de riesgo que se abarcan desde el ejercicio de auditoría son: riesgo
inherente, riesgo de control y riesgo de detección, estos se miden en una escala de
bajo, moderado o alto. Esta estructura permite llevar un control más adecuado y certero
de aquellas situaciones que puede resultar una amenaza para la empresa.

2.6.1 Riesgo inherente y residual

En este tipo de riesgo se tiene en cuenta el tipo y tamaño de la organización, la manera
en la que han llevado a cabo los procesos de auditoría, la cultura organizacional, el
estilo de gerencia, los canales de comunicación a nivel interno y externo y finalmente
los sistemas de gerencia y administración.

2.6.2 Riesgo de control

Este riesgo barca los mecanismos de control financiero y de gestión operacional, la
información y la comunicación, el ambiente de control, los sistemas de supervisión y
finalmente los mecanismos de evaluación de riesgos.

Una herramienta recurrente para la valoración del riesgo inherente y de control es la

matriz FODA, desde las cuales se identifican las fortalezas inherentes y de control, las
debilidades inherentes y de control, las oportunidades y amenazas que se pueden
presentar a través del ejercicio de auditoría.

Este análisis se debe abarcar tanto a nivel interno como externo, para validar en
totalidad aquellas situaciones de amenaza y de oportunidad. Además de esto, permite
entender que los riesgos también son oportunidades de mejorar aquello que no está
bien dentro de la empresa, reformarlo o cambiarlo, de manera que se pueda sacar
provecho de ellos. La gestión del riesgo también significa tomar decisiones para el

9
crecimiento de la empresa, que muchas veces significan cambios e incertidumbre, pero
que, si son bien estudiadas, se pueden obtener grandes beneficios (Cartaya, 2014).

2.6.3 Riesgos de detección

Estos riesgos se relacionan especialmente con la tarea del auditor, es decir, su
experticia, la claridad de los objetivos que se propuso o los alcances de la auditoría, la
aptitud y la actitud del equipo de trabajo, la planificación y administración de recursos,
el conocimiento previo acerca de la organización o unidad que va a ser auditada, el
conocimiento de técnicas adecuadas y actualizadas de auditoría, la comprensión de la
metodología y otro tipo de situaciones esporádicas como la enfermedad dentro del
grupo auditor y otro tipo de contingencias.

Respecto a este tipo de riesgo de detección, el auditor debe llevar a cabo un proceso
de síntesis de la evidencia, a través de la búsqueda y valoración de toda la información
financiera y de distinta índole que sea necesaria para llevar el proceso de auditoría de
la manera más responsable posible. Muchas veces este análisis parte de un síntoma
de que algo anda mal dentro de la empresa, a partir de allí el auditor crea una
sospecha y emprende un análisis completo de la situación, es decir, busca darle
validez y certeza a aquella situación de riesgo.

2.7 Modelos de gestión de riesgos

La gestión de riesgos, es un proceso a través del cual, se pretende lograr una

reducción de los niveles de riesgo existentes en la entidad y fomentar procesos de
construcción de nuevas oportunidades de servicios y administración desde su diseño,
que garanticen condiciones de seguridad para el futuro. Como proceso, la Gestión de
Riesgos no puede existir como una práctica, actividad o acción aislada. Más bien, debe
ser considerada como un componente íntegro y funcional del proceso de gestión del
desarrollo.

10
La Gestión de Riesgos es un proceso lógico y sistemático que puede ser utilizado
cuando se toman decisiones para mejorar la efectividad y eficiencia.

2.8 Elementos principales

Los elementos principales del proceso de administración del riesgo, son los siguientes:

2.8.1 Establecer el contexto

Establecer el contexto estratégico, organizacional y de administración del riesgo en el

cual el resto del proceso tomará lugar. Se deben en primer término, establecer los
criterios contra los cuales se evaluarán los riesgos y definir la estructura del análisis.

2.8.2 Identificación de riesgos

Identificar qué, por qué y cómo las cosas pueden suceder como la base para mayores
análisis.

2.8.3 Análisis de riesgos

Determinar los controles existentes y los riesgos analizados en términos de

consecuencia y probabilidad en el contexto de esos controles. El análisis debe
considerar el rango de consecuencias potenciales y cómo probablemente esas
consecuencias pueden ocurrir. La consecuencia y la probabilidad son combinadas para
producir un nivel de riesgo estimado o riesgo absoluto.

2.8.4 Evaluación de riesgos

Comparar los niveles de riesgo estimados contra el criterio preestablecido. Esto permite
priorizar los riesgos, así como identificar las prioridades de la administración. Si los

11
niveles de riesgo establecido son bajos, entonces los riesgos podrían caer en una
categoría aceptable y podría no necesitarse un tratamiento.

2.8.5 Tratamiento de riesgos

Aceptar y monitorear los riesgos de prioridad baja. Para otros riesgos, desarrollar e
implementar un plan de manejo específico dentro del cual se incluyen consideraciones
de fundamento.

2.8.6 Monitorear y revisar

Monitorear y revisar el desempeño del sistema de administración y los cambios que

podrían afectarlo, en este caso hasta se apruebe la Ley de Desarrollo con base en la
estructura organizativa aprobada.

2.8.7 Comunicación y consulta

Comunicación y consulta apropiada con la alta dirección no solo en cada estado del
proceso de administración del riesgo sino en lo concerniente a la totalidad del proceso.
La terminología usada en este estándar ha sido escogida para que sea congruente, en
lo posible, con un amplio rango de disciplinas de riesgos y administración de riesgos
(Quezada Madriz, 2010).

2.9 Metodología para la administración de riesgo directrices generales

Dentro de la metodología para la administración de los riesgos se incluye el

compromiso de la Jefaturas y que cada departamento trabajará con su equipo de
trabajo.

12
2.9.1 Valoración del Riesgo

La valoración del riesgo consta de 3 etapas: la identificación, el análisis y la

determinación del nivel del riesgo, las cuales son de singular interés para desarrollar
con éxito la administración de riesgo e implementar una política al respecto en la
entidad.

Para cada una de estas etapas se sugiere tener en cuenta la mayor cantidad de datos
disponibles y contar con la participación de las personas que ejecutan los procesos
para lograr que las acciones determinadas alcancen los niveles de efectividad
esperados.

2.9.2 Manejo del riesgo

Cualquier esfuerzo que emprendan las entidades en torno a la valoración del riesgo
llega a ser en vano, si no se culmina en un adecuado manejo y control de los mismos,
definiendo acciones factibles y efectivas, tales como la implantación de políticas,
estándares, procedimientos y cambios físicos, que hagan parte de un plan de manejo.

Para el manejo del riesgo se puede tener en cuenta alguna de las siguientes opciones:

 Evitar el riesgo.
 Reducir el riesgo.
 Dispersar y atomizar el riesgo.
 Transferir el riesgo.
 Asumir el riesgo.

2.10 ¿Quién lidera el proceso de gestión del riesgo?

Es importante que una empresa tenga una persona responsable de liderar el tema de
gestionar los riesgos. Sin una persona o grupo de individuos explícitamente enfocados
en diseñar e implementar un proceso de gestión de riesgos para ser aplicado en toda la
empresa, el enfoque de una entidad para la supervisión de riesgos sería insuficiente

13
para monitorear efectivamente el volumen y la complejidad de los riesgos. Por lo tanto,
evaluar si la organización ha seleccionado un líder del proceso de gestión de riesgos
puede ser una de las primeras consideraciones que los auditores deban hacer.

Las consultas que efectúen los auditores a las personas que ocupen estos puestos de
liderazgo, pueden proporcionar información sobre la solidez de los procesos de
evaluación de riesgos de la administración y una comprensión más profunda de
algunos de los riesgos más importantes en el horizonte para la entidad. Asimismo, las
consultas pueden proporcionar información importante sobre el diseño del proceso de
gestión de riesgos de la entidad y el nivel de compromiso del ejecutivo con ese
proceso.

Una revisión de las actas de las reuniones de los comités de riesgo a nivel gerencial y
las discusiones con los miembros del comité de riesgos puede proporcionar
perspectivas enriquecedoras que ayudan a fortalecer la comprensión del negocio y la
industria y los riesgos asociados. También aporta al conocimiento del control de riesgos
de la entidad.

2.11 ¿Cuál es el proceso de identificación de riesgo?

De acuerdo con el marco de control interno COSO, uno de sus componentes es la

evaluación de riesgos. Las organizaciones identifican los riesgos para gestionarlos y
facilitar el logro de sus objetivos. Por tanto, debe haber algún tipo de enfoque
estructurado utilizado para involucrar a la gerencia en la identificación y evaluación de
riesgos.

Comprender el proceso utilizado por la administración para identificar riesgos en toda la

empresa es fundamental para la evaluación del auditor. En algunas organizaciones, el
proceso de identificación de riesgos está bien definido y los miembros clave de la
administración participan periódicamente en actividades para ayudar a identificar los
riesgos futuros.

14
Los auditores pueden querer prestar especial atención a las organizaciones que
carecen de un enfoque claro y estructurado para involucrar regularmente a la
administración en la consideración de los riesgos. Un enfoque débil o inexistente para
la identificación del riesgo puede llevar a los auditores a cuestionar si existe un "tono en
la parte superior" suficiente con respecto a la gestión del riesgo.

La información sobre las técnicas utilizadas para involucrar a la gerencia en un proceso

de identificación de riesgos, quién está involucrado en el proceso entre la
administración y con qué frecuencia ocurre, puede ofrecer información importante
sobre la viabilidad del proceso de evaluación de riesgos de la administración.

2.12 ¿Qué tipo de información de riesgo se reporta?

El objetivo de involucrar a la administración en las tareas de identificación de riesgos es

ayudar a los líderes de la organización a identificar los riesgos más importantes que
puedan afectar el logro de los objetivos. Comprender los riesgos generados por ese
proceso ayuda a los auditores a comprender la naturaleza y el alcance de los riesgos
que más preocupan a la gerencia.

Algunos de los riesgos identificados por parte de la administración, no estarán

directamente relacionados con riesgos de errores en los estados financieros; no
obstante, la evaluación de los principales riesgos probablemente permita conocer a los
auditores sobre factores internos y externos importantes que podrían afectar el modelo
de negocios de la entidad o el éxito de su plan estratégico. Esa información puede, a su
vez, identificar las posibles presiones sobre la administración que, en última instancia,
podrían aumentar el riesgo de error material, incluido el riesgo de fraude.

Las organizaciones generalmente informan entre cinco (5) y veinte (20) riesgos clave
anualmente a la junta directiva. Generalmente, esa información se presenta a la junta
directiva completa o a uno de sus comités, a menudo el comité de auditoría. Varias
entidades están creando documentos estandarizados de "perfil de riesgo" en los
materiales de lectura previos a la junta. Esos perfiles a menudo incluyen una visión

15
general de la preocupación por el riesgo, su probabilidad de ocurrencia e impacto para
la organización, cómo la organización responde a cada riesgo y la adecuación de cada
respuesta de la administración a los riesgos, y la administración de métricas está
usando para monitorear cada riesgo a través del tiempo.

La información de los procesos de evaluación de riesgos de la administración, incluidos

los perfiles de riesgo u otros informes de riesgos, puede ser particularmente útil como
aporte para las discusiones de "lluvia de ideas" entre el equipo de trabajo sobre los
riesgos de errores materiales, incluidos los riesgos de fraude.

2.13 ¿Cuán efectiva es la supervisión del consejo de la evaluación de riesgos?

Si bien la junta directiva es en última instancia responsable de la supervisión de los

principales riesgos, a menudo asigna la responsabilidad de comprender y aprobar el
proceso de gestión de riesgos de la administración al comité de auditoría. Esto suele
ocurrir en ciertas entidades y bajo ciertas legislaciones particularmente.

Las juntas directivas suelen asignar cada uno de los riesgos principales a las agendas
de futuras reuniones de la junta para su posterior gestión. Los auditores pueden
beneficiarse de la comprensión de cómo la junta asigna la responsabilidad de
supervisar los procesos de gestión de riesgos de la administración y cómo esos
comités evalúan su efectividad de esos procesos.

Tanto las actas del comité como las discusiones del auditor con los presidentes de los
comités u otros miembros, pueden ser especialmente informativas sobre la solidez del
entorno de control general de la entidad y los procesos de evaluación de riesgos. La
revisión de esta información puede indicar la eficacia (o la falta de ella) del proceso de
gobierno en general.

16
2.14 ¿Qué tan efectivo es el manejo de riesgos de gestión?

Como práctica, algunas organizaciones están designando a diferentes miembros de la

gerencia en toda la empresa para que cumplan el papel de "propietarios de riesgos"
para cada uno de los diez o veinte principales riesgos presentados a la junta. Los
propietarios del riesgo son responsables de realizar un análisis exhaustivo de su riesgo
asignado para comprender los factores que originan el riesgo y evaluar la idoneidad de
la respuesta de la entidad a cada riesgo para evitar que ocurra o para minimizar su
impacto.

Normalmente, los propietarios de los riesgos son los responsables de actualizar a la

alta gerencia y a la junta sobre el estado actual y esperado de su riesgo asignado.
Comprender si la administración ha establecido responsabilidades para la gestión de
los riesgos clave, y como lo ha hecho, proporcionará una señal sobre la solidez de su
enfoque y atención a la supervisión de los riesgos. Si nadie se considera responsable
de los principales riesgos, ¿qué tan efectivas son las respuestas a los riesgos?

A medida que las entidades fortalecen sus procesos generales de gestión de riesgos
en toda la empresa, muchos mejoran sus sistemas de informes, para incluir algunas
métricas que ayudan a la administración a monitorear los cambios en las exposiciones
de riesgos emergentes. Estas métricas se conocen generalmente como indicadores
clave de riesgo (KRI), que pueden basarse en factores internos o externos asociados
con cada riesgo emergente.

La presencia de KRI en los tableros de gestión puede ayudar a los auditores en la

planificación o procedimientos analíticos, además de los conocimientos que pueden
proporcionar como parte de los procedimientos analíticos realizados en las etapas
finales de la auditoría. Los KRI a menudo se basan en información no financiera y, por
lo tanto, pueden brindar oportunidades adicionales para que el auditor desarrolle
expectativas sobre los saldos o tendencias de los estados financieros a lo largo del
tiempo.

17
2.15 Plan de Manejo de Riesgos

Para la elaboración es necesario tener en cuenta si las acciones propuestas reducen la

materialización del riesgo y hacer una evaluación jurídica, técnica, institucional,
financiera y económica, es decir considerar la viabilidad de su opción.

La selección de las acciones más convenientes para la entidad se puede realizar con
base en los siguientes factores:

a. El nivel de riesgo.

b. El balance entre el costo de la implementación de cada acción contra el

beneficio de la misma, en ese caso se espera ver la asignación presupuestaría.

2.16 Elaboración del mapa de riesgos y problemas potenciales

Este puede ser entendido como la representación o descripción de los distintos

aspectos tomados en cuenta en la valoración de los riesgos que permite visualizar todo
el proceso de la valoración del riesgo y el plan de manejo de estos.

2.17 Monitoreo

Una vez diseñado y validado el plan para administrar los riesgos, es necesario
monitorearlo tomando en cuenta que estos nunca dejan de representar una amenaza
para la organización, el monitoreo es esencial para asegurar que dichos planes
permanecen vigentes y que las acciones están siendo efectivas.

El monitoreo debe estar a cargo de los responsables del área o de la Unidad de

Auditoría Interna y su finalidad principal será la de aplicar las recomendaciones
correctivas y ajustes necesarios para asegurar un efectivo manejo del riesgo.

18
2.18 Autoevaluación

Se debe realizar con base en los indicadores de gestión del plan de trabajo mensual y
trimestral. Asimismo, se evaluará cómo ha sido el comportamiento del
riesgo/problemas potenciales y si se han presentado nuevos riesgos que deban ser
combatidos (Consejo Nacional de Ciencia y Tecología, 2022).

19
 CAPITULO III
Caso Práctico

Matrices de Riesgos
El objetivo general del presente caso práctico es evaluar la situación de las actividades
y esfuerzos necesarios para lograr los objetivos propuestos en conjunto con la Alta
Gerencia de la empresa de “Hoy si quiero ganar, S.A”. Con la verificación y
aseguramiento que los procedimientos a través del sistema informático sean realizados
de forma oportuna y en cumplimiento a la Normativa establecida, garantizando la
confiabilidad e integridad de este y por ende minimizar la existencia de riesgos.

Por lo tanto, el presente caso ilustrara información recopilada de la administración con

el fin de evaluar, analizar y recomendar posibles respuestas para mitigar riesgos.

Plan general de trabajo

Pruebas de diseño,
Alcance implementación y efectividad
operativa, matrices de riesgos.

Verificar que el departamento de

TI, cuente con políticas de
seguridad sobre la seguridad
Políticas de seguridad física, como ambiental del centro
de datos y los demás recursos
tecnológicos.
Específicos
 Evaluar si los sistemas de negocios que posee la empresa tienen involucrados
los controles suficientes que garanticen una información libre de errores,
fraudes, alteración o falta de disponibilidad. Y a su vez, que garantice la
seguridad y protección de la información, respecto a accesos no autorizados o
destrucción por parte de terceros.

 Determinar si existen adecuados controles en los sistemas operativos y

computacionales, que proporcione datos certeros.

 Identificar los controles aplicados por la empresa para prevenir las fallas, errores
y fraudes en la salvaguarda de sus recursos e integridad de la información.

 Recopilar la información asociada al sistema de información utilizado en las

cuatro divisiones comerciales para generar un diagnóstico del sistema.

 Analizar la información recolectada del sistema de información utilizado,

haciendo uso de normas y estándares internacionales.

1. INFORMACION GENERAL DE LA ENTIDAD AUDITADA

“Hoy si quiero ganar, S.A”. Es una compañía guatemalteca ubicado en el centro

histórico de la ciudad capital de Guatemala, desde 2010, donde a lo largo de los años
han atendido a clientes y proveedores con nuestro equipo de administración, ventas y
personal de apoyo, para brindar un servicio de calidad enfocado en la satisfacción y
desarrollo del negocio.

21
 ALCANCE DE LA AUDITORIA

Área de cumplimiento
La auditoría de sistemas informáticos comprendiendo la evaluación de la planificación y
organización de las tecnologías de la información (TI), aspectos relacionados con el
cumplimiento de las regulaciones legales, políticas y procedimientos que aseguran el
control interno tecnológico implementado en la “Hoy si quiero ganar, S.A”.

Área del especialista

La auditoría a sistemas informáticos comprendió la evaluación de aspectos de
seguridad, integridad y confiabilidad de la información, la infraestructura tecnológica,
los controles y validaciones a los sistemas utilizados que soportan los procesos
orientados a los objetivos de la “Hoy si quiero ganar, S.A”.

2. CRITERIOS UTILIZADOS EN EL PROCESO DE AUDITORIA

En la evaluación del sistema informático de la “Hoy si quiero ganar, S.A” los criterios
utilizados para la auditoria se basan en respuesta del cuestionario de control interno en
el cual se menciona la incidencia observada, por lo cual se tomará como referencia el
impacto en base a una matriz de riesgos:

ALTO 3 6 9
PROBABILIDAD

MEDIO 2 4 6

BAJO 1 2 3

BAJO MEDIO ALTO

MAGNITUD

22
Categoría de riesgos

Alto (A): Representa una deficiencia en los controles relacionados con

tecnología e información. Deberá ser atendido lo antes posible.

Medio (M): Deberá ser atendido durante los siguientes 90-180 días.

Bajo (B): Representa una desviación menor en los controles relacionados con
tecnología e información. Deberá ser atendido de acuerdo con la disponibilidad
de tiempo de los recursos asignados por la compañía.

Se traslado a “Hoy si quiero ganar, S.A”. un cuestionario y requerimiento de

información con el fin de recabar información oportuna y la evaluación correspondiente
obtenido los siguientes hallazgos:

1. Falta de instructivos para el uso de software Informático.

Derivado a la evaluación verificamos que actualmente no existe un instructivo para

el uso de software informáticos, por lo cual, las áreas donde tendrán altas laborales
serán los responsables de la inducción de los softwares necesarios.

2. Falta de personal interno ante inconvenientes de información.

Derivado a la evaluación se confirmó que actualmente tercerizan los servicios

técnicos en temas informáticos por lo cual no existe personal técnico interno dentro
de la empresa que salvaguarde cualquier inconveniente en temas informáticos

3. Falta de cobertura contra daños en equipos informáticos.

Derivado a la evaluación se confirmó que actualmente no existe un seguro ya sea

parcial o a todo riesgo en equipos informáticos, más, sin embargo, notificaron que
los deducibles son muy altos, pero no manifestaron cuando fue la última vez que se
cotizo.

4. Ausencia de rotación de funciones

Derivado a nuestra investigación actualmente el área de IT no cuenta con rotación

de funciones los cuales derivan a que cada asistente del departamento tiene
atribuciones específicas y no mantienen rotación de ellas.

23
 5. Falta de manual de políticas y procedimientos de entradas y salidas de
información.

Se determino que actualmente no existe un manual de políticas y procedimientos

para la evaluación del control sobre las entradas y salidas de información.

6. No existe un control del día y hora de entregas de trabajos asignados al

departamento de IT

Al realizar la evaluación al control interno nos percatamos que actualmente no

existe alguna bitácora o base histórico de información que plasme o identifique
los trabajos realizados y la secuencia cronológica de los mismos.

Por lo tanto, se solicita realizar una matriz de riesgos por cada hallazgo ilustrando así el
impacto de cada riesgo y su debida recomendación para mitigar la misma.

24
I. INFORMACION DE CONTROL INTERNO

DESCRIPCIÓN IMPACTO RECOMENDACIÓN

A M B
EFECTO x
1. Falta de instructivos para el uso PROBABILIDAD x
de software Informático.

Los instructivos de inducción

Derivado a la evaluación
verificamos que actualmente no
existe un instructivo para el uso de
software informáticos, por lo cual,
las áreas donde tendrán altas
laborales serán los responsables de
la inducción de los softwares
necesarios.
tiene como naturaleza la
mitigación de riesgos y Recomendamos a la Administración realizar un
mantener los mismos a niveles instructivo para el uso adecuado del software, con el
aceptables los cuales se fin de llevar un mayor control en la orientación al
materializan al ejecutar personal y mitigar errores a nivel sistema por la falta
procesos derivados a las de experiencia u orientación.
atribuciones del personal.

2. Falta de personal interno ante A M B

EFECTO x
inconvenientes de información. PROBABILIDAD x

Derivado a la evaluación se
La incertidumbre por Recomendamos evaluar los costos por tercerización y
confirmó que actualmente
inconvenientes en temas el impacto del mismo y con ello cotejar contra los
tercerizan los servicios técnicos en
informáticos, impactan de costos por la contratación de un técnico interno que
temas informáticos por lo cual no
manera materializada al salvaguarde cualquier inconveniente en temas
existe personal técnico interno
momento de que la informáticos.
dentro de la empresa que
salvaguarde cualquier administración no cuente con
inconveniente en temas personal técnico que mitigue
informáticos estos riesgos y pueda afectar la
perdida parcial o total de la
información valiosa.

25
 A M B
EFECTO x

PROBABILIDAD X
3. Falta de cobertura contra daños
en equipos informáticos.
Surge incertidumbre sobre la Recomendamos a la Entidad cotizar con sus
Derivado a la evaluación se recuperabilidad de los costos corredores de seguros varias cotizaciones de
confirmó que actualmente no por la falta de un seguro contra aseguradoras para asegurar los equipos informativos
existe un seguro ya sea parcial o a perdidas informáticas y así salvaguardar perdidas o impactos en costos en
todo riesgo en equipos la recuperación de equipos informáticos y de
informáticos, más, sin embargo, información.
notificaron que los deducibles son
muy altos, pero no manifestaron
cuando fue la última vez que se
cotizo.

A M B
EFECTO x

PROBABILIDAD x

4. Ausencia de rotación de
funciones
Derivado a nuestra investigación
actualmente el área de IT no
cuenta con rotación de funciones
los cuales derivan a que cada
asistente del departamento tiene
atribuciones específicas y no
mantienen rotación de ellas.
5. Falta de manual de políticas y
En base a que actualmente solo Recomendamos que todo el personal de IT se
se encuentran dos asistentes en capacite entre sí para minimizar el impacto ante la
el departamento de IT y que no falta de algún miembro del mismo y así estar
existe rotación de funciones prevenidos ante cualquier caso que se presente.
manifestamos riesgos al
momento de que uno de ellos no
se mantenga en labores y exista
problemas específicos a nivel
sistema que se desconoce por el
otro asistente.
A M B
EFECTO X
PROBABILIDAD x

procedimientos de entradas y Recomendamos evaluar los permisos de entradas y

salidas de información y con base a ello realizar un

26
 salidas de información.
Se determino que actualmente no
existe un manual de políticas y
procedimientos para la evaluación
del control sobre las entradas y
salidas de información.
Genera incertidumbre del control manual de políticas y procedimientos para mitigar y
que se lleva sobre los procesos reducir riesgos de salidas de información a personal
de entradas y salidas el cual no no autorizado.
es monitoreada ya que no existe
a nivel sistemas un histórico de
los movimientos de los accesos
de los usuarios y que tipo de
información solicita.

A M B
EFECTO x
6. No existe un control del día y PROBABILIDAD X
hora de entregas de trabajos
asignados al departamento de
IT Genera incertidumbre el control
que se lleva sobre la cronología Recomendamos se realicen las gestiones necesarias
Al realizar la evaluación al control que actualmente trabaja el para la realización de un cronograma de actividades
interno nos percatamos que departamento de IT ya que no con el fin de llevar un control adecuado de todas las
actualmente no existe alguna se materializan los trabajos ordenes de trabajo, así mismo asignar tiempos de
bitácora o base histórico de asignados, lo que se ejecutan y realización con el fin de no atrasar procesos y
información que plasme o los pendientes, por lo tanto, dan funcionalidad de la empresa.
identifique los trabajos realizados y una pauta a que se realicen
la secuencia cronológica de los trabajos que no sean urgentes y
mismos. dejar de ultimo los trabajos de
urgencia.

27
HALLAZGOS, CONCLUSIONES Y RECOMENDACIONES

Tema General
 Durante la evaluación realizada al Control Interno de IT), de la empresa
Hoy si quiero ganar, S.A., la información solicitada oportunamente
(cuestionarios de Control Internos y documentos de soporte) fue
proporcionada por las personas encargadas de brindar la misma.

1. Hallazgo
No existe un instructivo para el uso del software donde se especifiquen
requerimiento para su funcionamiento.

 Conclusión: Derivado a la evaluación de control interno el no contar con un

instructivo para el uso de software le da al empleado el utilizar la
información sin seguir un orden.
 Recomendación: Con la elaboración del instructivo para el uso de
software se llevará un mayor control de los dispositivos que el empleado
tenga a cargo.

2. Hallazgo
No existen planes eficaces de mitigación de riesgos cuando se presentan fallas
en el software.

 Conclusión: Derivado a la evolución se confirmó que actualmente

tercerizan los servicios técnicos en temas informáticos por lo cual no existe
personal técnico interno dentro de la empresa que salvaguarde cualquier
inconveniente en temas informáticos.
 Recomendación: Definir, implementar, probar y mantener un proceso para
administrar la continuidad del servicio que incluya elementos como:
prevención y atención de emergencias, administración de la crisis, planes
de contingencia y capacidad de retorno a la operación normal.

28
 3. Hallazgo
Falda de un seguro de Daños con cobertura a todo riesgo en equipo informático.

 Conclusión: Derivado a la evolución por medio del cuestionario de control

interino a los sistemas computacionales se determinó que, actualmente no
existe ningún seguro de daños a todo riesgo de equipos computaciones.
 Recomendación: Solicitar a los corredores de seguros actuales
cotizaciones de varias aseguradoras para uno seguro de daños en equipos
informáticos.

4. Hallazgo
No se cuenta con capacitación constante al personal responsable de procesos.
 Conclusión: Capacitar adecuadamente a los empleados mejora el margen
de beneficio para las empresas y adicionalmente contribuye en la retención
de empleados haciéndole consiente del rol que le corresponde y de la
apropiada forma de realizarlo.
 Recomendación: La capacitación debe ser obligatoria y continua, ya que
es un factor importante que ayuda a los empleados a ser competitivos y
más eficientes, dando como resultado una excelente prestación de servicio
a los usuarios.

5. Hallazgo
Ausencia de rotación de funciones.
 Conclusión: Existe dependencia excesiva hacia el personal que posee
conocimiento único ya que no existen políticas que permitan capturar el
conocimiento de estos empleados.
 Recomendación: Identificar al personal clave de recursos TI y minimizar la
dependencia de la institución hacia esta personal generando planes
estratégicos y tácticos para la captura documental del conocimiento con el
fin de recolectar la mayor cantidad de recursos escritos en donde se

29
 especifique una bitácora de los errores más frecuentes presentados en el
software y las soluciones a implementarse.

6. Hallazgo
No existe un manual de procedimientos para el registro de entradas y salidas de
información.
 Conclusión: Se determino que no existe un manual para la evaluación o
control sobre los ingresos y salidas de información sea sobre personal
sumamente especializado y autorizado.
 Recomendación: La política de administración de permisos debe
establecer grupos para los empleados encargados de los módulos y los
respectivos derechos de acceso con el fin de restringir o permitir el acceso
de los empleados a archivos para visualización de contenidos o
modificación; incrementando así la privacidad de los usuarios y usos
inadecuados de la información de la entidad.

30
 Conclusiones

La Matriz de Riesgo permite identificar riesgos o posibles conflictos en las

actividades principales de una organización, que impidan el cumplimiento de los
objetivos trazados; permite localizar los factores que intervienen ya sea internos o
externos, el grado de complejidad, la probabilidad de ocurrencia y los efectos que
puedan provocar en los resultados generales de la organización o empresa.

El riesgo se concibe como una probabilidad de que ciertas situaciones en el

funcionamiento de una empresa se conviertan en amenazas, desde el punto de
vista de la auditaría los clasifica en riesgos inherente, de control y de detección y
medibles en una escala de bajo, moderado o alto, esto para llevar un control más
adecuado de dichas situaciones.

32
 Recomendaciones

En la elaboración de la Matriz de Riesgo es indispensable identificar las

actividades principales del negocio y sus riesgos, las probabilidades de que
ocurran y las consecuencias, plasmarlas de forma sencilla en una especie de tabla
que debe ser flexible, fácil de consultar y que permita realizar un diagnóstico.
También es importante definir las acciones de respuesta a los riesgos y el
momento adecuado de ser aplicadas si llegaran a ocurrir, así como el desarrollo
de alternativas.

Al realizar un estudio de riesgos de una organización, es recomendable utilizar el

Análisis de Riesgo que es una herramienta destinada a ordenar la toma de
decisiones que suministra un proceso lógico, estructurado y consistente. Que a
través de sus tres etapas: identificación del riesgo, evaluación del riesgo y gestión
del riesgo, permite establecer el nivel de vulnerabilidad al que se enfrenta la
organización, pero así mismo permite fomentar procesos de construcción de
nuevas oportunidades, aumentando la efectividad y eficacia en las actividades y
con ello reducir ese nivel de riesgo.

33
 Referencias

Cañas Pacheco, L. E. (2009). Gestión de riesgos de negocio-Desarrollo e

implementación de Ssistemas de Gestión de Riesgos. El Salvador.
doi:https://silo.tips/download/gestion-de-riesgos-de-negocio-desarrollo-e-
implementacion-de-sistemas-de-gestion

Cartaya, M. (2014). Riesgo de Auditoría. Recuperado el 19 de Marzo de 2022, de

http://www.oas.org/juridico/PDFs/mesicic4_ven_ries_aud_2014.pdf
Consejo Nacional de Ciencia y Tecología. (19 de Marzo de 2022). Gestión del
Riesgo. Obtenido de Identiciación del Riesgo.

H. Mora, L. (14 de Octubre de 2016). Asociación de Especialistas Certificados en

Delitos Financieros. Recuperado el 19 de Marzo de 2022, de Matriz de
Riesgos:
https://www.flexcompliance.com/repository/LUCIO_MORA_GUIA_PRACTIC
A_PARA_EL_ARMADO_DE_UNA_PRECISA_MATRIZ_DE_RIESGOS.pdf

ISO TOOLS EXCELLENCE. (s.f.). Recuperado el Marzo de 2022, de Sistema de

Gestión Normalizados: https://www.isotools.org/2015/08/06/en-que-
consiste-una-matriz-de-riesgos/

ISO Tools Excellence. (6 de Agosto de 2015). ¿En qué consiste una matriz de
riesgos? Recuperado el 19 de Marzo de 2022, de
https://www.isotools.org/2015/08/06/en-que-consiste-una-matriz-de-
riesgos/#:~:text=Una%20matriz%20de%20riesgos%20es,puesta%20en%20
marcha%20de%20servicios.

Quezada Madriz, G. (21 de Abril de 2010). Administración de riesgos

empresariales: definición y proceso. Recuperado el 19 de Marzo de 2022,
de https://www.gestiopolis.com/administracion-de-riesgos-empresariales-
definicion-y-proceso/

RSM International Association. (s.f.). Recuperado el Marzo de 2022, de

https://www.rsm.global/peru/es/aportes/blog-rsm-peru/en-que-consiste-una-
matriz-de-riesgos

SCRIB. (s.f.). Recuperado el Marzo de 2022, de Gestion de Riesgos/Matriz de

Riesgos: http://es.scribd.com/doc/13889837/Gestion-de-Riesgosla-Matriz-
de-Riesgos

34