MATRIZ DE RIESGO - ASCURRA - FLORES

ORGANIZACIÓN:

Evaluación de Riesgo
Evaluación de Riesgo Residual
Inherente Respuesta al Riesgo
Nivel de Riesgo Nivel de Riesgo
Unidad Orgánica Proceso Sub proceso Riesgo Nivel de Riesgo Inherente Control Existente Nivel de Riesgo Residual
(P x I) (P x I x V) Control
Acción Institucional Responsable
Probabilidad Impacto Probabilidad Impacto Vulnerabilidad Necesario

Participación de funcionarios El responsable de la Establecer políticas y

Entidad Pública / Contratos con adquisicion de bienes y procedimientos para la Fortalecer los mecanismos de control y
Gerencia empresas Conflictos de interés públicos o sus familiares en las 5 4 20 servicios tiene autonomia para 5 4 0.6 12 identificación y gestión de auditoría de las contrataciones. Gerente de Proyectos
empresas contratistas. la validacion de contratos conflictos de interés.

Gerencia de El responsable de la Establecer mecanismos de

Presentación de facturas infladas o adquisicion de insumos tiene Implementar controles de validación y
Administracion / Ejeuccion de Obra Trabajos realizados por trabajos no realizados. 5 3 15 autonomia para la validacion 5 3 0.6 9 monitoreo y seguimiento de aprobación de facturas. Gerente de Proyectos
Abastecimiento de las compras los avances de las obras.

Matriz de Riesgo: Sistema de Gestión Anti Soborno

 Cálculo de Probabilidad o Frecuencia

Riesgo 1 Riesgo 2
Pregunta: Si el riesgo se materializa, podría generarse
N°
problemas con
Si No Si No
¿La actividad principal de la organización tiene relación con la
1 posible comisión de algún delito (s), asociado al riesgo Si Si
determinado?
¿Se han producido antecedentes de situaciones similares en
2 Si Si
los últimos 5 años?
¿Se han producido más de 2 situaciones similares en los
3 Si Si
últimos 5 años?
¿El número de personas de la organización dedicadas al
4 Si Si
proceso asociado es superior al 10%?
¿El número de personas de la organización dedicadas al
5 Si Si
proceso asociado es superior al 30%?

6 ¿El proceso asociado se realiza al menos una vez al año? Si Si

¿El proceso asociado se realiza todos los meses en la

7 Si Si
organización?

Puntuación 5 5

Respuestas:
Responder negativamente TODAS las preguntas genera una probabilidad MUY BAJA
(MUY IMPROBABLE) Puntuación 1.
Responder afirmativamente a UNA pregunta genera una probabilidad BAJA
(IMPROBABLE) Puntuación 2.
Responder afirmativamente a DOS o TRES preguntas genera una probabilidad
MODERADA. Puntuación3.
Responder afirmativamente de CUATRO o CINCO preguntas genera una probabilidad
ALTA (PROBABLE) Puntuación 4.
Responder afirmativamente a SEIS O SIETE preguntas genera una probabilidad
MUY ALTA (CASI CERTEZA) Puntuación 5.
 Cálculo del Impacto

Riesgo 1 Riesgo 2
Pregunta: Si el riesgo se materializa, podría generarse
N°
problemas con
Si No Si No

¿Afectar al cumplimiento de los objetivos o la misión de la

1 Si Si
organización?

¿Generar pérdida de confianza en la organización, afectando su

2 Si Si
gravemente reputación?

3 ¿Generar pérdida relevante de recursos económicos? Si Si

¿Afectar a la prestación o la disponibilidad de los

4 Si Si
servicios/productos?
¿Dar lugar al detrimento de la calidad de los servicios o
5 Si Si
productos?

6 ¿Generar pérdida relevante de información de la organización? Si Si

¿Dar lugar a incumplimientos que deriven en procesos fiscales,

7 Si Si
sancionadores, penalizaciones y/o disciplinarios?

¿Afectar a la integridad física o salud de las personas

8 Si Si
involucradas?

9 ¿Afectar a la imagen pública de la organización? Si Si

¿Afectar a todo el Servidor de la organización, o a la mayor

10 Si Si
parte de este?

Puntuación 4 3

Respuestas:

Responder afirmativamente a UNA pregunta genera un impacto INSIGNIFICANTE (1).

Responder afirmativamente a DOS o TRES preguntas genera un impacto BAJO (2).

Responder afirmativamente de CUATRO a SEIS preguntas genera un impacto MODERADO (3).

Responder afirmativamente a SIETE u OCHO preguntas genera un impacto ALTO (4).

Responder afirmativamente a NUEVE o DIEZ preguntas genera un impacto CATASTRÓFICO (5).

GRADO DE SEVERIDAD: MODERADO
 CÁLCULO DE LA VULNERABILIDAD
GRADO DE APLICACIÓN (A)
Aspectos Valor
Existen herramientas informáticas o similares que permitan una gestión de
control con independencia de personas. 1

El control ha sido informado, es conocido por toda la organización o, como

mínimo, por las personas y/o áreas afectadas por el mismo. 1

El control es aceptado por el conjunto de la organización o por las personas

y/o áreas sobre las que les es de aplicación. Es decir, que no existen eventos
que puedan indicar que se ha dejado de aplicar por voluntad de personas. 2

Existen mecanismos de verificación del seguimiento de las normas. 1

Promedio 1.25

FRECUENCIA EN SU EJECUCIÓN Y SEGUIMIENTO (B)

Aspectos Valor
El control se realiza de forma sistemática y con la frecuencia necesaria para
cumplir su objetivo. 2

Se produce un seguimiento de su ejecución en los plazos establecidos sin

necesidad de que sea requerido por la Alta Dirección. 2

Se han establecido y definido los plazos de ejecución del control, su revisón

y supervisión, realizándose de la forma preestablecida. 2
Promedio 2

DETERMINACIÓN Y DEFINICIÓN DE RESPONSABLES (C)

Aspectos Valor
Existen responsables predefinidos de la correcta ejecución del control. 3
Existe una supervisión constante de los responsables de la ejecución de
control. 4
Entre las responsabilidades de los puestos existentes se encuentra la
correcta supervisión del mencionado control y está ligado a la evaluación
del responsable. 3
Promedio 3.333333

CARÁCTER PREVENTIVO (D)

Aspectos Valor
El control permite actuar de forma que restrinja la comisión de la actividad
que puede generar el riesgo. 2
El control facilita o dispone de la existencia de mecanismos de información
e identificación de una amenaza con tiempo suficiente para articular una
reacción frente a la misma. 2

Las personas responsables del control disponen de los recursos, medios y

autoridad suficientes para abortar una posible amenaza. 1
Existen protocolos establecidos en la organización para proceder ante un
riesgo advertido por el control. 2
Promedio 1.75
 GRADO DE DOCUMENTACIÓN O EVIDENCIA (E)
Aspectos Valor
Existen documentos o registros que puedan acreditar el cumplimiento del
control. 2
Los registros o documentos acreditativos del cumplimiento del control se
custodian de una forma eficiente que garantice que no se pueda extraviar,
destruir, etc. 2
Los documentos que evidencian el cumplimiento garantizan acreditar el
registro temporal de su ejecución. 2
Promedio 2
EFECTIVIDAD DE CONTROL 2.066667

El grado de efectividad del control se calcula con la siguiente fórmula:

Efectividad de control= (A) + (B) + (C) + (D) +(E)
Número de Factores
A VULNERABILIDAD
Valor Aplicación existente
1 Muy deficiente (No existe)
2 Deficiente (Sin implementar)

3 Insuficiente (Parcialmente implementado)

4 Mejorable (Implementado, pero requiere mejora)

5 Apropiada (Implementado y apropiado)

Valor Frecuencia en su Ejecución y Seguimiento

1 Inicial (No se ejecuta)
2 Gestionado (A solicitud)

3 Definido (Esporádico)

4 Gestionado cuantitativamente (Permanente)

5 Optimizado (Permanente y automatizado)

Valor Determinación y definición de responsables del mismo

1 Muy deficiente (No existe)
2 Deficiente (No asignado)
3 Insuficiente (Parcialmente asignado)

4 Mejorable (Asignado, pero no es el adecuado)

5 Apropiada (Asignado y es apropiado /adecuado)

Valor Carácter Preventivo

1 Muy deficiente (No existe)
2 Deficiente (Correctivo)

3 Insuficiente (Detectivo)

4 Mejorable (Preventivo, pero puede mejorar)

5 Apropiada (Preventivo y es apropiado/adecuado)

 Valor Grado de documentación o evidencia
1 Muy deficiente (Sin documentar)
2 Deficiente (Desactualizado)

3 Insuficiente (Parcialmente documentado)

4 Mejorable (Documentado, pero puede mejorar)

5 Apropiada (Documentado y es apropiado/adecuado)

Grado de Protección Vulnerabilidad

Rango o Porcentaje de Reducción de la Vulnerabilidad
Existente Final

<=1: Muy
deficiente No reduce riesgo = 0 1–0=1
<=2: Deficiente Mínima reducción (20 %) = 0,2 1 – 0,2 = 0,8

<=3: Insuficiente Moderado (40 %) = 0,4 1 – 0,4 = 0,6

<=4: Mejorable Medio (60 %) = 0,6 1 – 0,6 = 0,4

<=5: Apropiada Alto (80 %) = 0,8 1 – 0,8 = 0,2

RIESGO RESIDUAL: P x I x V

El riesgo residual puede ubicarse en una de las cinco (5)

zonas de riesgo que a continuación se
muestran:

RANGOS PARA EL NIVEL DE RIESGO RESIDUAL

RANGO
Extremo [ 15 – 25>]
Crítico [ 10 – 15>]
Alto [ 5 – 10>]
Moderado [ 3 – 5>]
Bajo [ 1 – 3>]

Si luego de la evaluación del riesgo residual se obtiene un nivel de riesgo superior al

“riesgo bajo”, se debe implementar controles adicionales para reducir y/o mitigar
dichos riesgos.
 CÁLCULO DE LA VULNERABILIDAD
GRADO DE APLICACIÓN (A)
Aspectos Valor
Existen herramientas informáticas o similares que permitan una gestión de
control con independencia de personas. 1

El control ha sido informado, es conocido por toda la organización o, como

mínimo, por las personas y/o áreas afectadas por el mismo. 1

El control es aceptado por el conjunto de la organización o por las personas

y/o áreas sobre las que les es de aplicación. Es decir, que no existen eventos
que puedan indicar que se ha dejado de aplicar por voluntad de personas. 2

Existen mecanismos de verificación del seguimiento de las normas. 1

Promedio 1.25

FRECUENCIA EN SU EJECUCIÓN Y SEGUIMIENTO (B)

Aspectos Valor
El control se realiza de forma sistemática y con la frecuencia necesaria para
cumplir su objetivo. 2

Se produce un seguimiento de su ejecución en los plazos establecidos sin

necesidad de que sea requerido por la Alta Dirección. 2

Se han establecido y definido los plazos de ejecución del control, su revisón

y supervisión, realizándose de la forma preestablecida. 2
Promedio 2

DETERMINACIÓN Y DEFINICIÓN DE RESPONSABLES (C)

Aspectos Valor
Existen responsables predefinidos de la correcta ejecución del control. 3
Existe una supervisión constante de los responsables de la ejecución de
control. 4
Entre las responsabilidades de los puestos existentes se encuentra la
correcta supervisión del mencionado control y está ligado a la evaluación
del responsable. 3
Promedio 3.333333

CARÁCTER PREVENTIVO (D)

Aspectos Valor
El control permite actuar de forma que restrinja la comisión de la actividad
que puede generar el riesgo. 2
El control facilita o dispone de la existencia de mecanismos de información
e identificación de una amenaza con tiempo suficiente para articular una
reacción frente a la misma. 2

Las personas responsables del control disponen de los recursos, medios y

autoridad suficientes para abortar una posible amenaza. 1
Existen protocolos establecidos en la organización para proceder ante un
riesgo advertido por el control. 3
Promedio 2
 GRADO DE DOCUMENTACIÓN O EVIDENCIA (E)
Aspectos Valor
Existen documentos o registros que puedan acreditar el cumplimiento del
control. 2
Los registros o documentos acreditativos del cumplimiento del control se
custodian de una forma eficiente que garantice que no se pueda extraviar,
destruir, etc. 2
Los documentos que evidencian el cumplimiento garantizan acreditar el
registro temporal de su ejecución. 2
Promedio 2
EFECTIVIDAD DE CONTROL 2.116667

El grado de efectividad del control se calcula con la siguiente fórmula:

Efectividad de control= (A) + (B) + (C) + (D) +(E)
Número de Factores
A VULNERABILIDAD
Valor Aplicación existente
1 Muy deficiente (No existe)
2 Deficiente (Sin implementar)

3 Insuficiente (Parcialmente implementado)

4 Mejorable (Implementado, pero requiere mejora)

5 Apropiada (Implementado y apropiado)

Valor Frecuencia en su Ejecución y Seguimiento

1 Inicial (No se ejecuta)
2 Gestionado (A solicitud)

3 Definido (Esporádico)

4 Gestionado cuantitativamente (Permanente)

5 Optimizado (Permanente y automatizado)

Valor Determinación y definición de responsables del mismo

1 Muy deficiente (No existe)
2 Deficiente (No asignado)
3 Insuficiente (Parcialmente asignado)

4 Mejorable (Asignado, pero no es el adecuado)

5 Apropiada (Asignado y es apropiado /adecuado)

Valor Carácter Preventivo

1 Muy deficiente (No existe)
2 Deficiente (Correctivo)

3 Insuficiente (Detectivo)

4 Mejorable (Preventivo, pero puede mejorar)

5 Apropiada (Preventivo y es apropiado/adecuado)

 Valor Grado de documentación o evidencia
1 Muy deficiente (Sin documentar)
2 Deficiente (Desactualizado)

3 Insuficiente (Parcialmente documentado)

4 Mejorable (Documentado, pero puede mejorar)

5 Apropiada (Documentado y es apropiado/adecuado)

Grado de Protección Vulnerabilidad

Rango o Porcentaje de Reducción de la Vulnerabilidad
Existente Final

<=1: Muy
deficiente No reduce riesgo = 0 1–0=1
<=2: Deficiente Mínima reducción (20 %) = 0,2 1 – 0,2 = 0,8

<=3: Insuficiente Moderado (40 %) = 0,4 1 – 0,4 = 0,6

<=4: Mejorable Medio (60 %) = 0,6 1 – 0,6 = 0,4

<=5: Apropiada Alto (80 %) = 0,8 1 – 0,8 = 0,2

RIESGO RESIDUAL: P x I x V

El riesgo residual puede ubicarse en una de las cinco (5)

zonas de riesgo que a continuación se
muestran:

RANGOS PARA EL NIVEL DE RIESGO RESIDUAL

RANGO
Extremo [ 15 – 25>]
Crítico [ 10 – 15>]
Alto [ 5 – 10>]
Moderado [ 3 – 5>]
Bajo [ 1 – 3>]

Si luego de la evaluación del riesgo residual se obtiene un nivel de riesgo superior al

“riesgo bajo”, se debe implementar controles adicionales para reducir y/o mitigar
dichos riesgos.
 Riesgo Control Existente

Aplicación de procesos que regularicen las funciones de

Participación de funcionarios públicos o sus
cada miembro del equipo responsable de la formulacion
familiares en las empresas contratistas.
de proyectos
Presentación de facturas infladas o por trabajos Aplicación de estandares de calidad para la
no realizados. recepcion de insumos a la obra
 Efectividad Grado de Rango de
A B C D E Vulnerabilidad
del Control Protección Reducción

1.25 2 3.33333 1.75 2 2.06666667 Insuficiente 0.4 0.6

1.25 2 3.33333 1.75 2 2.06666667 Insuficiente 0.4 0.6