Documentos de Académico
Documentos de Profesional
Documentos de Cultura
28-10-2022
ANEXO METODOLOGÍA DE
RIESGO OPERATIVO Y
MATRIZ DE RIESGO
OPERATIVO
TABLA DE CONTENIDO
OBJETIVO 2
ALCANCE: 2
LÍDER DE PROCEDIMIENTO: 2
DEFINICIONES 2
REQUISITOS Y CONDICIONES GENERALES PARA EL DESARROLLO DEL PROCEDIMIENTO 4
EVALUACIÓN DEL RIESGO 4
MATRIZ DE RIESGO OPERATIVO 9
CONTROL DE CAMBIOS 9
ELABORÓ 10
REVISÓ 10
DEFINICIONES
● Riesgo: efecto de la incertidumbre sobre los objetivos. Un efecto es una desviación respecto a lo previsto;
puede ser positivo, negativo o ambos, y puede abordar, crear o resultar en oportunidades y amenazas.
● Gestión del riesgo: actividades coordinadas para dirigir y controlar la organización con relación al riesgo.
DEFINICIONES
● Parte interesada: persona u organización que puede afectar, verse afectada, o percibirse como afectada
por una decisión o actividad.
● Fuente de riesgo: elemento que, por sí solo o en combinación con otros, tiene el potencial de generar
riesgo.
● Evento: ocurrencia o cambio de un conjunto particular de circunstancias, un evento puede tener una o
más ocurrencias y puede tener varias causas y varias consecuencias.
● Consecuencia: resultado de un evento que afecta a los objetivos, una consecuencia puede ser cierta o
incierta y puede tener efectos positivos o negativos, directos o indirectos sobre los objetivos.
● Probabilidad: posibilidad de que algo suceda, en la terminología de gestión del riesgo, la palabra
“probabilidad” se utiliza para indicar la posibilidad de que algo suceda, esté definida, medida o
determinada objetiva o subjetivamente, cualitativa o cuantitativamente, y descrita utilizando términos
generales o matemáticos (como una probabilidad matemática o una frecuencia en un periodo de tiempo
determinado).
● Control: medida que mantiene y/o modifica un riesgo. Los controles incluyen, pero no se limitan a
cualquier proceso, política, dispositivo, práctica u otras condiciones y/o acciones que mantengan y/o
modifiquen un riesgo.
● Según la ISO 31000, el proceso de la gestión del riesgo implica la aplicación sistemática de políticas,
procedimientos y prácticas a las actividades de comunicación y consulta, establecimiento del contexto y
evaluación, tratamiento, seguimiento, revisión, registro e informe del riesgo. El proceso de la gestión del
riesgo debería ser una parte integral de la gestión y de la toma de decisiones y se debería integrar en la
estructura, las operaciones y los procesos de la organización. Puede aplicarse a nivel estratégico,
operacional, de programa o de proyecto.
El primer paso de administración de riesgos consiste en identificar los procesos sobre los cuales habrá que
buscar indicios potenciales de riesgo, o en general pérdida de ingresos. Para ello pueden utilizarse distintos
métodos: Cuestionarios, Entrevistas, Revisión de los estados financieros, Flujogramas, Organigramas,
Análisis crítico propio de la información en función a los riesgos posibles.
Los riesgos operativos que se identifican en cada proceso por factor de riesgo operativo (procesos,
personas, tecnología y eventos externos) y los tipos de eventos de riesgo como: fraude interno; fraude
externo; practicas laborales y seguridad del ambiente de trabajo; practicas relacionadas con los clientes,
los productos y el negocio; daños a los activos fijos provocados; interrupción del negocio por fallas en la
tecnología de la información; deficiencias en el diseño y/o la ejecución de procesos, en el procesamiento
de operaciones y en las relaciones con proveedores y terceros.
La matriz de riesgo por factor de los procesos será revisada por las áreas bajo la coordinación de la
Gerencia General de la compañía como mínimo 1 vez al año; considerando posibles actualizaciones
mensuales por el análisis de eventos suscitados.
2 - Medición y Evaluación: Los riesgos operativos deben ser medidos cualitativa y/o cuantitativamente.
Sin embargo, por la falta de información histórica la compañía medirá los riesgos cualitativamente hasta
contar con una base de datos robusta que permita efectuar la medición cuantitativa y a través de procesos
estadísticos se obtenga la pérdida esperada para una provisión de capital por este concepto.
Para la medición cualitativa se debe considerar tres escenarios: Riesgo inherente, riesgo sin aplicar
controles; Riesgo residual, riesgo aplicando controles existentes; y, Riesgo residual deseado, aplicando
controles propuestos.
Cada evento registrado en la matriz de riesgos por factores será evaluado considerando dos perspectivas:
Probabilidad:
Nivel Descriptivo Probabilidad
5 Casi seguro Ocurrirá en la mayoría de las circunstancias, todos los días o varias veces
al mes.
4 Probable Probablemente ocurrirá en la mayoría de las de las circunstancias, cuando
menos 1 vez al mes.
3 Posible Puede ocurrir en algún momento, cuando menos una vez al año.
2 Improbable Podría ocurrir en algún momento, cuando menos una vez cada 2 años.
1 Raro Puede ocurrir en circunstancias excepcionales, 2 veces cada 5 años.
Impacto:
Nivel Descriptivo Probabilidad
1 Insignificante Pérdida menor, riesgo aceptable en el sector, no hay daño a la reputación,
no hay cobertura en los medios, no quejas de los clientes.
2 Menor Pérdida moderada, cobertura de medios local, reclamos de los clientes,
riesgo aceptable en el sector, no hay impacto negativo en el valor de las
acciones de la compañía.
Con estos criterios cualitativos, se aplica la siguiente matriz para determinar el nivel de riesgo que puede
ser:
Finalmente, los resultados de la evaluación de los eventos con sus niveles de probabilidad, impacto y riesgo
se registran en la matriz de riesgos. Los riesgos aceptados por la compañía no podrán superar una
calificación de riesgo residual de nivel “MEDIO”; por lo que, se dará prioridad en la definición,
implementación o mejoramiento de controles a aquellos que no cumplen este nivel mínimo. Estos controles
serán definidos en base a la respuesta al riesgo que se identifique por cada evento:
Evitar: no se identifiquen opciones de respuesta que lleven el riesgo residual a un nivel aceptable; eliminar
la fuente del riesgo; decidir no comprometerse en nuevas iniciativas / actividades que aumenten el riesgo.
Compartir: reducir impacto y/o probabilidad transfiriendo o compartiendo el riesgo con un tercero;
realizar alianzas estratégicas; cubrir riesgos a través de instrumentos financieros; tercerizar procesos de
negocios; acuerdos contractuales con clientes, proveedores u otros socios de negocios.
Reducir: reducir impacto y/o probabilidad; diversificar oferta de producto; establecer límites; establecer
controles preventivos y detectivos; establecer controles manuales.
3 - Control: La implementación del control estará a cargo de los jefes departamentales y deberán
presentar su avance cada mes al Gerente General. La efectividad de los controles se evaluará en función
de que cumple la mitigación del riesgo y que el jefe del área involucrado esta aplicando efectivamente el
control junto con su equipo de trabajo.
4 - Monitoreo: El monitoreo de los riesgos operativos se realizará de manera mensual; para lo cual, la
Gerencia General verá la implementación de los planes de acción en función del cronograma definido, y se
utilizará un reporte de los principales eventos que se obtendrá de la matriz de riesgo.
Plantilla_Matriz
Riesgo Operativo_V3..xlsx
CONTROL DE CAMBIOS
FECHA DE APROBACIÓN
VERSIÓN DESCRIPCIÓN DEL CAMBIO
AAAA MM DD
ELABORÓ
NOMBRES Y APELLIDOS CARGO FECHA
Responsable de Tecnología y/o Seguridad de la
Ing. Nelson Gustavo Dueñas Robles 2022-10-17
Información.
REVISÓ
NOMBRES Y APELLIDOS CARGO FECHA
Ab. José Antonio Escala Cornejo Gerente General 2022-10-28
Firmado digitalmente
NELSON por NELSON GUSTAVO
GUSTAVO DUEÑAS ROBLES
DUEÑAS ROBLES Fecha: 2023.01.27
13:23:21 -05'00'
ING. NELSON GUSTAVO DUEÑAS ROBLES ABG. JOSÉ ANTONIO ESCALA CORNEJO