MATRIZ DE RIESGOS

1
 Matriz o mapa de riesgos

Es una presentación gráfica en forma de Matriz, que es construida de

acuerdo a una metodología, permite identificar y priorizar los
principales riesgos y exposiciones al riesgo que afectan a los procesos
y en consecuencia a la posibilidad de alcanzar los objetivos
institucionales

2
 Metodología para construir la matriz

1. Identificación y ponderación de procesos relevantes en la institución.

2. Identificación y ponderación de subprocesos en los procesos
relevantes.
3. Identificación y ponderación de etapas en cada subproceso.
4. Identificación de objetivos específicos.
5. Identificación y clasificación de riesgos operativos relevantes.
6. Identificación y análisis de controles claves.
7. Cálculo de la Exposición al riesgo individual, por etapa, subproceso y
proceso.

3
 Notas importantes

Es necesario tener presente que la identificación de procesos,

subprocesos y etapas es una labor que la empresa debería tener
realizada y respaldada a través de documentos formales.

En caso que no estén formalizadas, el auditor debe analizar e

identificar en conjunto con los ejecutivos y directivos responsables,
la estructura de los procesos.

4
 Identificación de etapas en cada subproceso.

Etapa: Las acciones o actividades que en conjunto forman el

subproceso.
Proceso: Recursos Humanos
Subproceso: Remuneraciones
Etapa: Liquidación de remuneraciones

5
 Identificación de objetivos específicos

Se entenderá por objetivos específicos, aquella meta o finalidad que se

persigue cumplir mediante la ejecución de una etapa o mediante la
ejecución de un Subproceso. Una etapa puede tener más de un objetivo.

1) Obj. Liquidar oportuna y adecuadamente las remuneraciones del personal.

2) Obj. Liquidar oportuna y adecuadamente las provisiones sociales

6
 Identificación de riesgos operativos relevantes.

El riesgo se define por la probabilidad de ocurrencia de un hecho no

deseado, o de la no ocurrencia de un hecho deseado.
Afectando el cumplimiento de las metas y objetivos específicos que se
están evaluando.

Clasificación de los riesgos

Según origen: Interno o Externo.
Según naturaleza: Económicos, sociales, tecnológicos, estratégicos,
medioambientales, procesos, legales, personas,
imagen, sistemas.

7
Medición del riesgo

El riesgo, luego de identificado se le cuantifica mediante una

matriz de dos variables:
V1) Probabilidad de ocurrencia.
V2) Grado de impacto.
El cruce de ambas variables determina la Severidad del riesgo.

8
 Categorías de probabilidad:

Categoría Valor Descripción

Casi certeza5 Riesgo cuya probabilidad de ocurrencia tiende al

100%
Probable 4 Riesgo cuya probabilidad se estima entre 75% a
95%
Moderado 3 Riesgo cuya probabilidad se estima entre 51% a
74%
Improbable 2 Riesgo cuya probabilidad se estima entre 26% a
50%
Muy improbable 1 Riesgo cuya probabilidad se estima entre 1% a 25%

9
 Categorías de Impacto:
(Categoría, valor, descripción)
Catastróficas (Valor 5)
Riesgo cuya materialización influye directamente en el cumplimiento de la misión,
pérdida patrimonial o deterioro de la imagen, dejando además sin funcionar totalmente
o por un período importante de tiempo, los programas o servicios que entrega la
institución.

Mayores (Valor 4)
Riesgo cuya materialización dañaría significativamente el patrimonio, imagen o logro
de los objetivos sociales. Además, se requeriría una cantidad importante de tiempo de
la alta dirección en investigar y corregir los daños.

Moderadas (Valor 3)
Riesgo cuya materialización causaría ya sea una pérdida importante en el patrimonio
o un deterioro significativo de la imagen. Además, se requeriría una cantidad de
tiempo importante de la alta dirección en investigar y corregir los daños.

Menores (Valor 2)
Riesgo que causa un daño en el patrimonio o imagen, que se puede corregir en el corto
tiempo y que no afecta el cumplimiento de los objetivos estratégicos

Insignificantes (Valor 1)
Riesgo que puede tener un pequeño o nulo efecto en la institución 10
 SEVERIDAD DEL RIESGO.

La severidad del riesgo se obtiene de multiplicar la

probabilidad por el impacto, así se determina una escala
que va desde 25 a 01, en orden decreciente de severidad.
Clasificándose en: Extremo, Alto, Moderado y Bajo.

11
 EJEMPLO

RIESGOS IDENTIFICADOS

OBJETIVOS PROBABILIDAD IMPACTO SEVERIDAD VALOR

ESPECIFICOS DESCRIPCION DEL
DEL RIESGO CLASIFIC VALOR CLASIFIC VALOR RIESGO

Liquidar en forma
Liquidación Muy
oportuna y Adecua
indebida o errónea 1 May 4 4 Alt.
da las
de Impr
remuneraciones
remuneraciones

12
 Identificación de controles claves.

Identificados los riesgos, es necesario identificar y analizar los

controles claves existentes en la institución, los que teóricamente
mitigan los riesgos

Estos controles se califican de acuerdo a su diseño y aplicación,

tomando en cuenta tres características:
1) Oportunidad (en que momento del proceso se aplican; preventivos,
correctivos, detectivos).
2) Periodicidad (si son permanentes, periódicos u ocasionales).
3) Grado de automatización (manual, semi automatizado, 100%
automatizado)

13
 Criterio de Oportunidad

( Clasificación, descripción)

Preventivo (Pv) Controles claves que actúan antes o al inicio de un proceso.

Correctivo (Cr) Controles claves que actúan durante el proceso y que

permiten corregir las deficiencias.

Detectivo (Dt) Controles claves que sólo actúan una vez que el proceso ha
terminado.

14
 Criterio de Periodicidad

(Clasificación, descripción)

Permanente (Pe) Controles claves aplicados durante todo el proceso, es decir,

en cada operación.

Periódico (Pd) Controles claves aplicados en forma constante sólo cuando ha

transcurrido un periódico específico de tiempo

Ocasional (Oc) Controles claves que se aplican sólo en forma ocasional en un

proceso.

15
 Criterio de Automatización

(Clasificación, descripción )

100% automatizado (At) Controles claves incorporados en el proceso,

cuya aplicación es completamente informatizada. Están incorporados en los
sistemas informatizados

Semi – automatizado (Sa) Controles claves incorporados en el proceso,

cuya aplicación es parcialmente aplicada mediante sistemas informatizados.

Manual (Ma) Controles claves incorporados en el proceso, cuya

aplicación no considera uso de sistemas informatizados

Nota: Al margen de la clasificación se debe calificar si el control

cumple o no normas mínimas de efectividad.

16
Características diseño del control clave Clasific. Nivel
control control
Periodicidad Oportunidad Automatizació
(Pd) (O) n (A)

Permanente Preventivo Informatizado

BUENO OPTIMO
Permanente Preventivo Semi Informa
Permanente
Permanente
Preventivo
Correctivo
Manual
Informatizado
5
Permanente Correctivo Semi Informa
Permanente Correctivo Manual
Permanente Detectivo Informatizado
Permanente Detectivo Semi Informa
Permanente
Periódico
Detectivo
Preventivo
Manual
Informatizado
4
Periódico Preventivo Semi Informa
Periódico Preventivo Manual

17
Periódico Correctivo Informatizado
Periódico Correctivo Semi Informa
Periódico
Periódico
Correctivo
Detectivo
Manual
Informatizado
3

MAS QUE REG.

Periódico Detectivo Semi Informa
Periódico Detectivo Manual

REGULAR
Ocasional Preventivo Informatizado
Ocasional Preventivo Semi Informa
Ocasional
Ocasional
Preventivo
Correctivo
Manual
Informatizado
2
Ocasional Correctivo Semi Informa
Ocasional Correctivo Manual
Ocasional
Ocasional
Detectivo
Detectivo
Informatizado
Semi Informa DEFICIENTE 1
Ocasional Detectivo Manual 18

No No No -------------
INEXIST
Formula para determinar la Valores Nivel de
exposición al riesgo
Posibles exposición
8,0 - 25 No acept. (Na)

NIVEL SEVERIDAD DEL RIESGO

4,0 – 7,99 Mayor (Ma)
NIVEL EFICIENCIA DEL CONTROL
3,0 – 3,99 Media (Md)

0,2 – 2,99 Menor (Me)

19
Consideraciones finales.

La matriz de riesgos como herramienta de gestión, solo adquiere

relevancia si es aplicada de manera consistente y permanente en la
totalidad de los procesos relevantes de la organización.

La matriz de riesgos es una herramienta de gestión, que como tal

debe ser adaptada a las características de la organización.

La matriz de riesgos es una herramienta de evaluación que sirve

como insumo, para orientar los esfuerzos de gestión en orden a
reducir al mínimo posible los riesgos, asegurando razonablemente
el logro de los objetivos de la institución.

20