ÚLTIMA ACTUALIZACIÓN

28-10-2022

ANEXO METODOLOGÍA DE
RIESGO OPERATIVO Y
MATRIZ DE RIESGO
OPERATIVO

Av.Francisco de Orellana. Edificio (593) 4 6002196 consultas.jur@destraconsultores.com www.destraconsultores.com

World Trade Center, torre b, piso 10,
oficina 1007
 CÓDIGO:
ANEXO DE SEGURIDADES FÍSICAS Y ELECTRÓNICAS VERSIÓN: 1.0
PAGINA: 1 de 11

TABLA DE CONTENIDO
OBJETIVO 2
ALCANCE: 2
LÍDER DE PROCEDIMIENTO: 2
DEFINICIONES 2
REQUISITOS Y CONDICIONES GENERALES PARA EL DESARROLLO DEL PROCEDIMIENTO 4
EVALUACIÓN DEL RIESGO 4
MATRIZ DE RIESGO OPERATIVO 9
CONTROL DE CAMBIOS 9
ELABORÓ 10
REVISÓ 10

Documento controlado por el Sistema de Gestión de la Calidad

 CÓDIGO:
ANEXO DE SEGURIDADES FÍSICAS Y ELECTRÓNICAS VERSIÓN: 1.0
PAGINA: 2 de 11

● Definir lineamientos para la administración del riesgo operativo de la compañía

con la intención de evitar pérdidas por impactos negativos en los procesos,
OBJETIVO:
personas, tecnología de la información y eventos externos.

● Este manual establece lineamientos para la correcta administración del riesgo

ALCANCE: operativo dentro de la compañía.

LÍDER DE ● La Gerencia General.

PROCEDIMIENTO:

DEFINICIONES

● Riesgo: efecto de la incertidumbre sobre los objetivos. Un efecto es una desviación respecto a lo previsto;
puede ser positivo, negativo o ambos, y puede abordar, crear o resultar en oportunidades y amenazas.

● Gestión del riesgo: actividades coordinadas para dirigir y controlar la organización con relación al riesgo.

Documento controlado por el Sistema de Gestión de la Calidad

 CÓDIGO:
ANEXO DE SEGURIDADES FÍSICAS Y ELECTRÓNICAS VERSIÓN: 1.0
PAGINA: 3 de 11

DEFINICIONES
● Parte interesada: persona u organización que puede afectar, verse afectada, o percibirse como afectada
por una decisión o actividad.
● Fuente de riesgo: elemento que, por sí solo o en combinación con otros, tiene el potencial de generar
riesgo.

● Evento: ocurrencia o cambio de un conjunto particular de circunstancias, un evento puede tener una o
más ocurrencias y puede tener varias causas y varias consecuencias.

● Consecuencia: resultado de un evento que afecta a los objetivos, una consecuencia puede ser cierta o
incierta y puede tener efectos positivos o negativos, directos o indirectos sobre los objetivos.

● Probabilidad: posibilidad de que algo suceda, en la terminología de gestión del riesgo, la palabra
“probabilidad” se utiliza para indicar la posibilidad de que algo suceda, esté definida, medida o
determinada objetiva o subjetivamente, cualitativa o cuantitativamente, y descrita utilizando términos
generales o matemáticos (como una probabilidad matemática o una frecuencia en un periodo de tiempo
determinado).

● Control: medida que mantiene y/o modifica un riesgo. Los controles incluyen, pero no se limitan a
cualquier proceso, política, dispositivo, práctica u otras condiciones y/o acciones que mantengan y/o
modifiquen un riesgo.

Documento controlado por el Sistema de Gestión de la Calidad

 CÓDIGO:
ANEXO DE SEGURIDADES FÍSICAS Y ELECTRÓNICAS VERSIÓN: 1.0
PAGINA: 4 de 11

REQUISITOS Y CONDICIONES GENERALES PARA EL DESARROLLO DEL PROCEDIMIENTO

● Personal técnico especializado en administración de riesgos y recursos. Con estudios en MBA,

Administración de Proyectos, Ingeniería Comercial, Sistemas y otras carreras afines.
e
EVALUACIÓN DEL RIESGO

● Según la ISO 31000, el proceso de la gestión del riesgo implica la aplicación sistemática de políticas,
procedimientos y prácticas a las actividades de comunicación y consulta, establecimiento del contexto y
evaluación, tratamiento, seguimiento, revisión, registro e informe del riesgo. El proceso de la gestión del
riesgo debería ser una parte integral de la gestión y de la toma de decisiones y se debería integrar en la
estructura, las operaciones y los procesos de la organización. Puede aplicarse a nivel estratégico,
operacional, de programa o de proyecto.

El primer paso de administración de riesgos consiste en identificar los procesos sobre los cuales habrá que
buscar indicios potenciales de riesgo, o en general pérdida de ingresos. Para ello pueden utilizarse distintos
métodos: Cuestionarios, Entrevistas, Revisión de los estados financieros, Flujogramas, Organigramas,
Análisis crítico propio de la información en función a los riesgos posibles.

1- Identificación: La identificación de los riesgos operativos se realiza a través del relevamiento de

información de los procesos con las áreas responsables y se identifican los riesgos en cada una de las
actividades a través de talleres, análisis de eventos suscitados, información de pérdidas operacionales
recopiladas y la comparación de riesgos y acciones mitigadoras.

Documento controlado por el Sistema de Gestión de la Calidad

 CÓDIGO:
ANEXO DE SEGURIDADES FÍSICAS Y ELECTRÓNICAS VERSIÓN: 1.0
PAGINA: 5 de 11

EVALUACIÓN DEL RIESGO

Adicionalmente se registra la siguiente información:

Los riesgos operativos que se identifican en cada proceso por factor de riesgo operativo (procesos,
personas, tecnología y eventos externos) y los tipos de eventos de riesgo como: fraude interno; fraude
externo; practicas laborales y seguridad del ambiente de trabajo; practicas relacionadas con los clientes,
los productos y el negocio; daños a los activos fijos provocados; interrupción del negocio por fallas en la
tecnología de la información; deficiencias en el diseño y/o la ejecución de procesos, en el procesamiento
de operaciones y en las relaciones con proveedores y terceros.

La matriz de riesgo por factor de los procesos será revisada por las áreas bajo la coordinación de la
Gerencia General de la compañía como mínimo 1 vez al año; considerando posibles actualizaciones
mensuales por el análisis de eventos suscitados.

2 - Medición y Evaluación: Los riesgos operativos deben ser medidos cualitativa y/o cuantitativamente.
Sin embargo, por la falta de información histórica la compañía medirá los riesgos cualitativamente hasta
contar con una base de datos robusta que permita efectuar la medición cuantitativa y a través de procesos
estadísticos se obtenga la pérdida esperada para una provisión de capital por este concepto.

Para la medición cualitativa se debe considerar tres escenarios: Riesgo inherente, riesgo sin aplicar
controles; Riesgo residual, riesgo aplicando controles existentes; y, Riesgo residual deseado, aplicando
controles propuestos.

Cada evento registrado en la matriz de riesgos por factores será evaluado considerando dos perspectivas:

Documento controlado por el Sistema de Gestión de la Calidad

 CÓDIGO:
ANEXO DE SEGURIDADES FÍSICAS Y ELECTRÓNICAS VERSIÓN: 1.0
PAGINA: 6 de 11

EVALUACIÓN DEL RIESGO

Probabilidad, que es la estimación de la probabilidad de ocurrencia del evento evaluada en los tres
escenarios; e, Impacto, que es la magnitud de la consecuencia si el riesgo se materializa.

Para lo cual, se usará los siguientes criterios:

Probabilidad:
Nivel Descriptivo Probabilidad
5 Casi seguro Ocurrirá en la mayoría de las circunstancias, todos los días o varias veces
al mes.
4 Probable Probablemente ocurrirá en la mayoría de las de las circunstancias, cuando
menos 1 vez al mes.
3 Posible Puede ocurrir en algún momento, cuando menos una vez al año.
2 Improbable Podría ocurrir en algún momento, cuando menos una vez cada 2 años.
1 Raro Puede ocurrir en circunstancias excepcionales, 2 veces cada 5 años.

Impacto:
Nivel Descriptivo Probabilidad
1 Insignificante Pérdida menor, riesgo aceptable en el sector, no hay daño a la reputación,
no hay cobertura en los medios, no quejas de los clientes.
2 Menor Pérdida moderada, cobertura de medios local, reclamos de los clientes,
riesgo aceptable en el sector, no hay impacto negativo en el valor de las
acciones de la compañía.

Documento controlado por el Sistema de Gestión de la Calidad

 CÓDIGO:
ANEXO DE SEGURIDADES FÍSICAS Y ELECTRÓNICAS VERSIÓN: 1.0
PAGINA: 7 de 11

EVALUACIÓN DEL RIESGO

3 Moderado Pérdida o daño significativo, riesgo inusual en el sector, cobertura de
medios nacionales, reclamos de clientes a gran escala, perdida de algunos
clientes, indagaciones de los entes de regulación, efecto negativo en el
valor de las acciones, posible involucramiento de la alta gerencia.
4 Mayor Pérdida o daño mayor, pérdida de valor en las acciones de la compañía,
riesgo inusual en el sector, cobertura en medios nacionales, pérdidas
importantes de clientes, investigación por parte de los entes de regulación,
involucramiento de la alta gerencia.
5 Catastrófico Pérdida o daño catastrófico, pérdida importante de valor en las acciones
de la compañía, riesgo inusual o inaceptable en el sector, intervención y
multas de los entes de control, pérdida de clientes a gran escala,
involucramiento de la alta gerencia.

Con estos criterios cualitativos, se aplica la siguiente matriz para determinar el nivel de riesgo que puede
ser:

E: Extremo (se requiere acción inmediata de la alta dirección)

A: Alto (se necesita atención de la alta dirección)
M: Medio (se requiere definir responsabilidades)
B: Bajo (se requiere aplicar procedimientos rutinarios)

Documento controlado por el Sistema de Gestión de la Calidad

 CÓDIGO:
ANEXO DE SEGURIDADES FÍSICAS Y ELECTRÓNICAS VERSIÓN: 1.0
PAGINA: 8 de 11

EVALUACIÓN DEL RIESGO

MATRIZ DE ANÁLISIS CUALITATIVO DE RIESGOS

PROBABILIDAD IMPACTO
1 - INSIGNIFICANTE 2 - MENOR 3 - MODERADO 4 - MAYOR 5 – CATASTRÓFICO
5 – CASI SEGURO A A E E E
4 - PROBABLE M A A E E
3 – POSIBLE B M A E E
2 – IMPROBABLE B B M A E
1 - RARO B B M A A

Finalmente, los resultados de la evaluación de los eventos con sus niveles de probabilidad, impacto y riesgo
se registran en la matriz de riesgos. Los riesgos aceptados por la compañía no podrán superar una
calificación de riesgo residual de nivel “MEDIO”; por lo que, se dará prioridad en la definición,
implementación o mejoramiento de controles a aquellos que no cumplen este nivel mínimo. Estos controles
serán definidos en base a la respuesta al riesgo que se identifique por cada evento:

Evitar: no se identifiquen opciones de respuesta que lleven el riesgo residual a un nivel aceptable; eliminar
la fuente del riesgo; decidir no comprometerse en nuevas iniciativas / actividades que aumenten el riesgo.

Compartir: reducir impacto y/o probabilidad transfiriendo o compartiendo el riesgo con un tercero;
realizar alianzas estratégicas; cubrir riesgos a través de instrumentos financieros; tercerizar procesos de
negocios; acuerdos contractuales con clientes, proveedores u otros socios de negocios.

Reducir: reducir impacto y/o probabilidad; diversificar oferta de producto; establecer límites; establecer
controles preventivos y detectivos; establecer controles manuales.

Documento controlado por el Sistema de Gestión de la Calidad

 CÓDIGO:
ANEXO DE SEGURIDADES FÍSICAS Y ELECTRÓNICAS VERSIÓN: 1.0
PAGINA: 9 de 11

EVALUACIÓN DEL RIESGO

Aceptar: riesgo residual dentro de las tolerancias; no se toma acción para reducir impacto y probabilidad.

3 - Control: La implementación del control estará a cargo de los jefes departamentales y deberán
presentar su avance cada mes al Gerente General. La efectividad de los controles se evaluará en función
de que cumple la mitigación del riesgo y que el jefe del área involucrado esta aplicando efectivamente el
control junto con su equipo de trabajo.

4 - Monitoreo: El monitoreo de los riesgos operativos se realizará de manera mensual; para lo cual, la
Gerencia General verá la implementación de los planes de acción en función del cronograma definido, y se
utilizará un reporte de los principales eventos que se obtendrá de la matriz de riesgo.

MATRIZ DE RIESGO OPERATIVO

Plantilla_Matriz
Riesgo Operativo_V3..xlsx

CONTROL DE CAMBIOS
FECHA DE APROBACIÓN
VERSIÓN DESCRIPCIÓN DEL CAMBIO
AAAA MM DD

Documento controlado por el Sistema de Gestión de la Calidad

 CÓDIGO:
ANEXO DE SEGURIDADES FÍSICAS Y ELECTRÓNICAS VERSIÓN: 1.0
PAGINA: 10 de 11

Creación del documento, la metodología de riesgo operativo y la

matriz de riesgo operativo enfocada al proceso de gestión de
1.0 2022 10 28 cobranza dentro de las operaciones normales del negocio. La
información técnica es responsabilidad del área de Tecnología /
Seguridad de la Información y la Gerencia General.

ELABORÓ
NOMBRES Y APELLIDOS CARGO FECHA
Responsable de Tecnología y/o Seguridad de la
Ing. Nelson Gustavo Dueñas Robles 2022-10-17
Información.

REVISÓ
NOMBRES Y APELLIDOS CARGO FECHA
Ab. José Antonio Escala Cornejo Gerente General 2022-10-28

Firmado digitalmente
NELSON por NELSON GUSTAVO
GUSTAVO DUEÑAS ROBLES
DUEÑAS ROBLES Fecha: 2023.01.27
13:23:21 -05'00'

ING. NELSON GUSTAVO DUEÑAS ROBLES ABG. JOSÉ ANTONIO ESCALA CORNEJO

Documento controlado por el Sistema de Gestión de la Calidad