MATRIZ DE RIESGO

ORGANIZACIÓN:

Evaluación de Riesgo
Evaluación de Riesgo Residual
Inherente Respuesta al Riesgo
Nivel de Riesgo Nivel de Riesgo
Unidad Orgánica Proceso Sub proceso Riesgo Nivel de Riesgo Inherente Control Existente Nivel de Riesgo Residual
(P x I) (P x I x V) Control
Acción Institucional Responsable
Probabilidad Impacto Probabilidad Impacto Vulnerabilidad Necesario

Presentar ensayos de laboratorio

falsificados o manipulados en el Revisión de los informes de Implementación de auditorías y Exigir supervisión externa en
Gerencia de Estudios de Elaboración de expediente técnico, con el fin de ajustar laboratorio por parte del verificaciones cruzadas de los ensayos de ensayos críticos y elaboración de Coordinador del área de
Infraestructura Preinversión Expediente Técnico los resultados a especificaciones 3 5 15 equipo técnico antes de la 3 5 0.6 9 laboratorio con muestreos aleatorios para contramuestras por parte del Estudios de Preinversión y
requeridas sin haber realizado pruebas aprobación del expediente validar la autenticidad de los datos. cliente. Control de Calidad.
reales, afectando la calidad del estudio y técnico.
la futura inversión.

Manipulación de los términos de Publicación de bases con al

referencia o requerimientos técnicos de Implementar un comité independiente que menos 30 días de anticipación y
Gerencia de Contratación de Obras Elaboración de bases las bases para que solo una empresa Supervisión del proceso de revise las bases antes de su publicación permitir observaciones de Jefe de Logística, Comité
Infraestructura / y Servicios de licitación pueda cumplir con los criterios, limitando 3 5 15 contratación por un comité 2 4 0.6 4.8 para evitar sesgos o requisitos excesivos postores. Evaluación pública de Evaluador y Contraloría
Administración la competencia y afectando la evaluador que limiten la competencia. criterios técnicos antes de la Interna.
transparencia del proceso de adjudicación.
contratación.

Matriz de Riesgo: Sistema de Gestión Anti Soborno

 Cálculo de Probabilidad o Frecuencia

Riesgo 1 Riesgo 2
Pregunta: Si el riesgo se materializa, podría generarse
N°
problemas con
Si No Si No
¿La actividad principal de la organización tiene relación con la
1 posible comisión de algún delito (s), asociado al riesgo x x
determinado?
¿Se han producido antecedentes de situaciones similares en
2 x x
los últimos 5 años?
¿Se han producido más de 2 situaciones similares en los
3 x x
últimos 5 años?
¿El número de personas de la organización dedicadas al
4 x x
proceso asociado es superior al 10%?
¿El número de personas de la organización dedicadas al
5 x x
proceso asociado es superior al 30%?

6 ¿El proceso asociado se realiza al menos una vez al año? x x

¿El proceso asociado se realiza todos los meses en la

7 x x
organización?

Puntuación 3 3

Respuestas:
Responder negativamente TODAS las preguntas genera una probabilidad MUY BAJA
(MUY IMPROBABLE) Puntuación 1.
Responder afirmativamente a UNA pregunta genera una probabilidad BAJA
(IMPROBABLE) Puntuación 2.
Responder afirmativamente a DOS o TRES preguntas genera una probabilidad
MODERADA. Puntuación3.
Responder afirmativamente de CUATRO o CINCO preguntas genera una probabilidad
ALTA (PROBABLE) Puntuación 4.
Responder afirmativamente a SEIS O SIETE preguntas genera una probabilidad
MUY ALTA (CASI CERTEZA) Puntuación 5.
 Cálculo del Impacto

Riesgo 1 Riesgo 2
Pregunta: Si el riesgo se materializa, podría generarse
N°
problemas con
Si No Si No

¿Afectar al cumplimiento de los objetivos o la misión de la

1 X X
organización?

¿Generar pérdida de confianza en la organización, afectando su

2 X X
gravemente reputación?

3 ¿Generar pérdida relevante de recursos económicos? X X

¿Afectar a la prestación o la disponibilidad de los

4 X X
servicios/productos?
¿Dar lugar al detrimento de la calidad de los servicios o
5 X X
productos?

6 ¿Generar pérdida relevante de información de la organización? X X

¿Dar lugar a incumplimientos que deriven en procesos fiscales,

7 X X
sancionadores, penalizaciones y/o disciplinarios?

¿Afectar a la integridad física o salud de las personas

8 X X
involucradas?

9 ¿Afectar a la imagen pública de la organización? X X

¿Afectar a todo el Servidor de la organización, o a la mayor

10 X X
parte de este?

Puntuación 5 5

Respuestas:

Responder afirmativamente a UNA pregunta genera un impacto INSIGNIFICANTE (1).

Responder afirmativamente a DOS o TRES preguntas genera un impacto BAJO (2).

Responder afirmativamente de CUATRO a SEIS preguntas genera un impacto MODERADO (3).

Responder afirmativamente a SIETE u OCHO preguntas genera un impacto ALTO (4).

Responder afirmativamente a NUEVE o DIEZ preguntas genera un impacto CATASTRÓFICO (5).

GRADO DE SEVERIDAD: MODERADO
 CÁLCULO DE LA VULNERABILIDAD
GRADO DE APLICACIÓN (A)
Aspectos Valor 1 Valor 2
Existen herramientas informáticas o similares que permitan una gestión de
control con independencia de personas. 4 3

El control ha sido informado, es conocido por toda la organización o, como

mínimo, por las personas y/o áreas afectadas por el mismo. 4 3

El control es aceptado por el conjunto de la organización o por las personas

y/o áreas sobre las que les es de aplicación. Es decir, que no existen eventos
que puedan indicar que se ha dejado de aplicar por voluntad de personas. 3 4

Existen mecanismos de verificación del seguimiento de las normas. 3 2

Promedio 3.5 3

FRECUENCIA EN SU EJECUCIÓN Y SEGUIMIENTO (B)

Aspectos Valor 1 Valor 2
El control se realiza de forma sistemática y con la frecuencia necesaria para
cumplir su objetivo. 4 2

Se produce un seguimiento de su ejecución en los plazos establecidos sin

necesidad de que sea requerido por la Alta Dirección. 3 3

Se han establecido y definido los plazos de ejecución del control, su revisón

y supervisión, realizándose de la forma preestablecida. 4 2
Promedio 3.666667 2.333333

DETERMINACIÓN Y DEFINICIÓN DE RESPONSABLES (C)

Aspectos Valor 1 Valor 2

Existen responsables predefinidos de la correcta ejecución del control. 4 2

Existe una supervisión constante de los responsables de la ejecución de
control. 3 3

Entre las responsabilidades de los puestos existentes se encuentra la

correcta supervisión del mencionado control y está ligado a la evaluación
del responsable. 3 4
Promedio 3.333333 3

CARÁCTER PREVENTIVO (D)

Aspectos Valor 1 Valor 2
El control permite actuar de forma que restrinja la comisión de la actividad
que puede generar el riesgo. 4 4

El control facilita o dispone de la existencia de mecanismos de información

e identificación de una amenaza con tiempo suficiente para articular una
reacción frente a la misma. 3 3

Las personas responsables del control disponen de los recursos, medios y

autoridad suficientes para abortar una posible amenaza. 4 4
Existen protocolos establecidos en la organización para proceder ante un
riesgo advertido por el control. 3 4
Promedio 3.5 3.75

GRADO DE DOCUMENTACIÓN O EVIDENCIA (E)

Aspectos Valor 1 Valor 2
Existen documentos o registros que puedan acreditar el cumplimiento del
control. 4 3

Los registros o documentos acreditativos del cumplimiento del control se

custodian de una forma eficiente que garantice que no se pueda extraviar,
destruir, etc. 3 4
Los documentos que evidencian el cumplimiento garantizan acreditar el
registro temporal de su ejecución. 3 3
Promedio 3.333333 3.333333
EFECTIVIDAD DE CONTROL 3.466667 3.083333

El grado de efectividad del control se calcula con la siguiente fórmula:

Efectividad de control= (A) + (B) + (C) + (D) +(E)
Número de Factores
A VULNERABILIDAD
Valor Aplicación existente
1 Muy deficiente (No existe)

2 Deficiente (Sin implementar)

3 Insuficiente (Parcialmente implementado)

4 Mejorable (Implementado, pero requiere mejora)

5 Apropiada (Implementado y apropiado)

Valor Frecuencia en su Ejecución y Seguimiento

1 Inicial (No se ejecuta)

2 Gestionado (A solicitud)

3 Definido (Esporádico)

4 Gestionado cuantitativamente (Permanente)

5 Optimizado (Permanente y automatizado)

Valor Determinación y definición de responsables del mismo

1 Muy deficiente (No existe)

2 Deficiente (No asignado)

3 Insuficiente (Parcialmente asignado)

4 Mejorable (Asignado, pero no es el adecuado)

5 Apropiada (Asignado y es apropiado /adecuado)

Valor Carácter Preventivo

1 Muy deficiente (No existe)

2 Deficiente (Correctivo)

3 Insuficiente (Detectivo)

4 Mejorable (Preventivo, pero puede mejorar)

 5 Apropiada (Preventivo y es apropiado/adecuado)

Valor Grado de documentación o evidencia

1 Muy deficiente (Sin documentar)

2 Deficiente (Desactualizado)

3 Insuficiente (Parcialmente documentado)

4 Mejorable (Documentado, pero puede mejorar)

5 Apropiada (Documentado y es apropiado/adecuado)

Grado de Protección Vulnerabilidad

Rango o Porcentaje de Reducción de la Vulnerabilidad
Existente Final

<=1: Muy
deficiente No reduce riesgo = 0 1–0=1

<=2: Deficiente Mínima reducción (20 %) = 0,2 1 – 0,2 = 0,8

<=3: Insuficiente Moderado (40 %) = 0,4 1 – 0,4 = 0,6
<=4: Mejorable Medio (60 %) = 0,6 1 – 0,6 = 0,4
<=5: Apropiada Alto (80 %) = 0,8 1 – 0,8 = 0,2

RIESGO RESIDUAL: P x I x V

El riesgo residual puede ubicarse en una de las cinco (5)

zonas de riesgo que a continuación se
muestran:

RANGOS PARA EL NIVEL DE RIESGO RESIDUAL

RANGO
Extremo [ 15 – 25>]
Crítico [ 10 – 15>]
Alto [ 5 – 10>]
Moderado [ 3 – 5>]
Bajo [ 1 – 3>]

Si luego de la evaluación del riesgo residual se obtiene un nivel de riesgo superior al

“riesgo bajo”, se debe implementar controles adicionales para reducir y/o mitigar
dichos riesgos.
 Riesgo Control Existente

Seleccionar proveedores, de manera discrecional, Directiva anual de procesos de adquisiciones de bienes y

en procesos menores servicios
 Efectividad Grado de Rango de
A B C D E Vulnerabilidad
del Control Protección Reducción

3.5 3.66667 3.33333 3.5 3.33333 3.46666667 Mejorable 0.6 0.4