EVALUACION DE RIESGOS

Etapas de la Metodología para elaborar la Matriz de Administración de Riesgos

II.
Contexto VII.
Definición de
estrategias y acciones
I. Comunicación y III. de control para
consulta Evaluación de responder a los riesgos
riesgos

VI.
IV. Mapa de riesgos
Evaluación de
controles V.
Evaluación de
riesgos respecto
a controles
 Etapa III.- Evaluación de Riesgos
Estima la magnitud de los riesgos internos y externos que pueden evitar el logro de los objetivos de la
organización.

F.
Identificación de
los posibles
A. efectos de los
Identificación, E. riesgos. G.
selección y Tipo de factor de Valoración del grado de
impacto antes de la
descripción de riesgo. evaluación de controles
riesgos

B. D. H.
Valoración del grado de
Nivel de Identificación de impacto antes de la
decisión del factores de evaluación de controles.
(Valoración inicial)
riesgo. C. riesgo.
Clasificación
de los riesgos.
 El concepto de RIESGO EN Auditoría

Es la posibilidad de que algo suceda o no suceda, de que un acontecimiento adverso e incierto,

externo o interno que, derivado de la combinación de su probabilidad de ocurrencia y el
posible impacto, pueda obstaculizar o impedir el logro de los objetivos y metas de la entidad.
Es la probabilidad de que un evento o acción pueda afectar en forma adversa a la organización,

Impacto

Probabilidad de ocurrencia
Clasificación de Riesgos
• Es el riesgo que conlleva cada actividad por sí misma en ausencia de controles. Este tipo de
riesgo tiene que ver exclusivamente con la actividad económica o negocio de la empresa,
Riesgo independientemente de los sistemas de control interno que allí se estén aplicando.
Inherente

• Es el riesgo de que los controles establecidos por la entidad no prevengan ni detecten una incorrección
significativa
Riesgo de Cuando existen bajos niveles de riesgos de control es porque se están efectuando o están implementados
excelentes procedimientos para el buen desarrollo de los procesos de la organización
Control

• Es el riesgo de que el auditor no encuentre errores materiales.

Es tan importante este riesgo que bien trabajado contribuye a debilitar el riesgo de
Riesgo de control y el riesgo inherente de la compañía
Detección

• Es aquel que existe en todo momento por lo cual se genera la posibilidad de que un
auditor emita una información errada por el hecho de no haber detectado errores o
Riesgo de faltas significativas que podría modificar por completo la opinión dada en un informe.
Auditoría
Clasificación
Es elde Riesgos
riesgo que conlleva cada actividad por sí misma en ausencia de controles. Este tipo de riesgo tiene
que ver exclusivamente con la actividad económica o negocio de la empresa, independientemente de los
sistemas de control interno que allí se estén aplicando. Entre los factores que llevan a la existencia de este
Riesgo tipo de riesgos esta la naturaleza de las actividades económicas, como también el volumen tanto de
Inherente
transacciones como de productos y/o servicios, además tiene relevancia la parte gerencial y la calidad de
recurso humano con que cuenta la entidad.

Es el riesgo de que los controles establecidos por la entidad no prevengan ni detecten una incorrección
significativa
Aquí influye de manera muy importante los sistemas de control interno que estén implementados en la
empresa y en que circunstancias lleguen a ser insuficientes o inadecuados para la aplicación y detección
Riesgo de oportuna de irregularidades
Control Cuando existen bajos niveles de riesgos de control es porque se están efectuando o están implementados
excelentes procedimientos para el buen desarrollo de los procesos de la organización.
Entre los factores relevantes que determina este tipo de riesgo son los sistemas de información,
contabilidad y control.

Es el riesgo de que el auditor no encuentre errores materiales

Este tipo de riesgo está directamente relacionado con los procedimientos de auditoría por lo que se trata de
Riesgo de la no detección de la existencia de errores en el proceso realizado.
Detección La responsabilidad de llevar a cabo una auditoria con procedimientos adecuados es total responsabilidad del
grupo auditor, es tan importante este riesgo que bien trabajado contribuye a debilitar el riesgo de control y
el riesgo inherente de la compañía.
Clasificación de Riesgos

Riesgo Inherente Riesgo de control Riesgo de detección

• Tipo y tamaño de la • Mecanismos de control • Experiencia del auditor

organización financiero • Claridad de los objetivos y
• Mecanismos de control de alcance de la auditoría
• Naturaleza de las • Aptitud y actitud del equipo
gestión u operacional
actividades económicas auditor
• Información y
• Volumen tanto de comunicación • Planificación y administración
transacciones como de de los recursos
• Ambiente de control
productos y/o servicios • Enfermedad-contingencia en
• Supervisión el equipo auditor
• Resistencia a la • Mecanismos de evaluación • Conocimiento previo de la
auditoría de riesgos unidad/centro a auditar
• Cultura organizacional • Conocimiento de técnicas de
• Estilo de Gerencia Sistema de Control auditoría
• Comprensión de la
• Estilo de comunicación Interno metodología
• Sistemas de gerencia y
administración en la
organización
RIESGO DE AUDITORIA
PARA DETERMINAR EL RIESGO DE AUDITORIA SE
UTILIZA LA SIGUIENTE FORMULA:

RA= RI x RC x RD

Donde:
RA= Riesgo de Auditoría
RI= Riesgo Inherente
RC= Riesgo de Control
RD= Riesgo de Detección
 RIESGO DE AUDITORIA

RA= Riesgo de Auditoría

En promedio se determina entre un 5% y 7%, según la experiencia del auditor

RI= Riesgo Inherente

Se determina al realizar la evaluación inicial en la matriz de riesgo

RC= Riesgo de Control

Se determina al realizar la evaluación de controles (evaluación final) en la matriz de riesgo

RD= Riesgo de Detección

Se determina por fórmula
 RIESGO DE AUDITORIA
Tanto para el Riesgo Inherente como para el Riesgo de Control, en la matriz de riesgo se
determinan los siguientes niveles:
a) Con tres niveles
Nivel Intervalo Cálculo % Promedio
Bajo 1%-33% 1+33=34/2 17%
Medio 34%-66% 34+66=100/2 50%
Alto 67%-100% 67+100=167/2 83%

b) Con cuatro niveles

Nivel Intervalo Cálculo % Promedio
Bajo 1%-25% 1+25=26/2 13%
Moderado 26%-50% 26+50=76/2 38%
Alto 51%-75% 51+75=126/2 63%
Extremo 76%-100% 76+100=176/2 88%
RIESGO DE AUDITORIA: ejemplos

Si:
RI= 40%
RC= 38%
RD= 10%

¿Cual sería el Riesgo de Auditoría?

RA= RI x RC x RD
RA= .40 x .38 x .10
RA= .0152
RA= 1.5%
 RIESGO DE AUDITORIA: ejemplos
Si:
RA= 1.5%
RI= 40%
RC= 38%

¿Cual sería el Riesgo de Detección ?

RA= RI x RC x RD
.015 = .40 x .38 x RD
RD= .015/ .40 x .38
RD= .015/.152
RD= .9868 = 9.86%
RIESGOS
Etapa III Evaluación de Riesgos

g) Valoración del grado de impacto antes de evaluar controles

La asignación se determina con un valor de 1 a 10, (1 a 5) (1 a 625) en
función de los efectos

h) Valoración de la probabilidad de ocurrencia antes de la evaluación

de controles
La asignación se determina con un valor de 1 a 10 ( 1 a 5) en función de los
factores de riesgo

14
 Análisis del Riesgo.
Evaluación del riesgo inherente ó riesgo bruto:
Es la evaluación preliminar del riesgo, con la cual la Organización quiere conocer el nivel de exposición
al mismo, sin tener en cuenta las medidas de mitigación o los controles. En esta evaluación se
involucran dos conceptos la probabilidad de ocurrencia y la magnitud del impacto.

Magnitud del
Probabilidad de ocurrencia:
impacto: Es el
Es la posibilidad que un evento se materialice. Para determinar la probabilidad se puede resultado de un
evento expresado
utilizar el análisis cualitativo o cuantitativo, así como la estadística de la situación. cualitativa o
El análisis cualitativo se utiliza para aquellos casos en los cuales no existen datos para generar cuantitativamente, sea
este una pérdida,
estadísticas; ésta se asocia al criterio de frecuencia (medida de las veces que se sucede un evento perjuicio o desventaja.
expresado como la cantidad de ocurrencias en un tiempo dado). Se definen rangos sobre
los resultados posibles
asociados a un
evento.
 Análisis del Riesgo.

Evaluación del Riesgo Inherente (Evaluación

Inicial)

Probabilidad de que se Impacto o efecto del riesgo sobre la

materialice o manifieste el riesgo organización (ingresos, reputación,
satisfacción de clientes, emisión de la
información, etc)

Evaluación / Severidad / Calificación: Es la evaluación general del Resultado de la

riesgo, resulta de la combinación de la probabilidad y el impacto: combinación de las dos
P variables
R Muy
Alta Evaluación del riesgo
O Alt
a
B Moderada
Alto Moderado
A Baja

B Muy
Baja
I Inferi Meno Important Mayo Superio Extremo Bajo
L or r e r r
I NIVEL DE
IMPACTO
D

D
 Análisis del Riesgo.
Un mapa de riesgos es la visualización global de los riesgos de una
organización, diferenciándolos de acuerdo con sus niveles de criticidad.

Se convierte en una carta de navegación para conocer y definir estrategias de gestión para
los riesgos.
 Análisis del Riesgo.
Probabilidad de Ocurrencia
Es la variable que mide la posibilidad de que un riesgo
se materialice. Sin embargo no en todos los casos se
tiene información histórica para su cálculo, por lo tanto
se establecerán las siguientes dos opciones de escala:
Casuística: Escala que determina la probabilidad de
ocurrencia de un riesgo basada en datos históricos. (Ej.
3 de 50 casos, 5% de los casos).
Periodicidad: Escala relacionada con la frecuencia con
la que un riesgo se materializa en un periodo
determinado de tiempo. (Ej.: una vez al mes, una vez
cada año)
Los cinco niveles de probabilidad de ocurrencia
ubicados en el mapa de riesgos son:
• Muy Alta/Recurrente
• Alta/Muy probable
• Moderada/Probable
• Baja/Inusual
• Muy Baja/Remota
Probabilidad
Muy Alta
- Se espera la ocurrencia del evento en más del 20% de los
casos.
- Nos ocurre con cierta periodicidad (1 vez cada mes)
Alta
- El evento ocurrirá entre el 15 y 20% de los casos.
.
- Se presenta con alguna frecuencia (1 vez cada trimestre).
Moderada
- El evento puede ocurrir entre el 10 y 14.99% de los casos.
- Se presenta por lo menos una vez cada semestre.
Baja
- El evento puede ocurrir entre el 3 y el 9.99% de los casos
- Se presenta por lo menos una vez cada año.
Muy Baja
- El evento puede ocurrir en menos del 3% de los casos
- Se ha presentado una vez en la entidad o en el sector en los
últimos año.
 Análisis del Riesgo.

Probabilidad de Ocurrencia

Es la variable que mide la posibilidad de que un riesgo Probabilidad

se materialice. Sin embargo no en todos los casos se Recurrente
tiene información histórica para su cálculo, por lo tanto -
se establecerán las siguientes dos opciones de escala: Se tiene la seguridad de que el riesgo se materialice,
tiende a estar entre 90% y 100%
Casuística: Escala que determina la probabilidad de
ocurrencia de un riesgo basada en datos históricos. (Ej.
Muy probable
- La seguridad de que se materialice el riesgo está entre el
3 de 50 casos, 5% de los casos).
75% y el 89%
Periodicidad: Escala relacionada con la frecuencia con Probable
la que un riesgo se materializa en un periodo - La seguridad de que se materialice el riesgo está entre el
determinado de tiempo. (Ej.: una vez al mes, una vez 51% y el 74%
cada año) Inusual
- La seguridad de que se materialice el riesgo está entre el
Los cinco niveles de probabilidad de ocurrencia
25% y el 50%
ubicados en el mapa de riesgos son:
• Muy Alta/Recurrente - .
Remota
• Alta/Muy probable - La seguridad de que se materialice el riesgo está entre el 1%
• Moderada/Probable y el 24%
• Baja/Inusual
• Muy Baja/Remota
 Análisis del Riesgo.
Magnitud de Impacto
Corresponde a la evaluación del efecto y la
consecuencia producida al materializarse un riesgo al
interior de la entidad. Las variables que son tenidas en
cuenta para definir el impacto se encuentran divididas
en dos grupos:
Cuantitativos: Aquellos criterios que miden el impacto
de los riesgos desde el punto de vista financiero.
Cualitativos: Aquellos criterios que miden el impacto
de los riesgos intangibles, que generalmente no son
fáciles de medir desde el punto de vista financiero (Ej.
La reputación (imagen, temas legales, pérdida de
clientes, entre otros.)
Los cinco niveles de impacto ubicados en el mapa de
riesgos son:
• Crítico /Catastrófico
• Mayor/Grave
• Importante/Moderado
• Menor/Bajo
• Inferior/Menor.
Criterios Cualitativos
Critico
- Interrupción de las operaciones por más de 4 horas.
- Intervención por parte de la Comisión Nacional Bancaria y
de Valores (CNBV) por Incumplimientos legales y/o
contractuales.
- Impacto que afecte la imagen negativamente en el mercado
relacionada con prácticas inseguras y/o irregulares.
- Pérdida de información crítica de la Compañía y/o de terceros
que no se pueda recuperar.
Mayor
- Interrupción de las operaciones entre 2 a 4 horas.
- Sanciones económicas por incumplimiento de las normas
establecidas (operaciones / obligaciones contractuales).
- Impacto que afecte negativamente la imagen en el mercado
relacionada con el servicio al cliente.
- Pérdida de información crítica de la Compañía o de terceros
que no se pueda recuperar fácilmente.
 Análisis del Riesgo.
Magnitud de Impacto
Corresponde a la evaluación del efecto y la
consecuencia producida al materializarse un riesgo al
interior de la entidad. Las variables que son tenidas en
cuenta para definir el impacto se encuentran divididas
en dos grupos:
Cuantitativos: Aquellos criterios que miden el impacto
de los riesgos desde el punto de vista financiero.
Cualitativos: Aquellos criterios que miden el impacto
de los riesgos intangibles, que generalmente no son
fáciles de medir desde el punto de vista financiero (Ej.
La reputación (imagen, temas legales, pérdida de
clientes, entre otros.)
Los cinco niveles de impacto ubicados en el mapa de
riesgos son:
• Crítico /Catastrófico
• Mayor/Grave
• Importante/Moderado
• Menor/Bajo
• Inferior/Menor.
Criterios Cualitativos
Importante
- Llamados de atención o requerimientos realizado por los
entes reguladores.
- Interrupción de las operaciones entre 1 y menor a 2 horas.
- Inoportunidad de la información ocasionando retrasos en las
labores de las áreas o en la respuesta a los entes reguladores.
- Reproceso de actividades y aumento de la carga operativa
(ejecutar nuevamente actividades de los procesos por errores
operativos).
- Impacto que afecta negativamente la imagen con los clientes.
Menor
- Interrupción de las operaciones menor a 1 hora.
- No afecta la oportunidad de la información de manera
significativa, no altera el funcionamiento de las áreas
receptoras y procesadoras de información.
- Incremento entre el 10% y el 20% del numero de reclamos
formulados por los clientes.
Inferior
No hay interrupción de operaciones
 Análisis del Riesgo.
Magnitud de Impacto
Corresponde a la evaluación del efecto y la
consecuencia producida al materializarse un riesgo al
interior de la entidad. Las variables que son tenidas en
cuenta para definir el impacto se encuentran divididas
en dos grupos:
Cuantitativos: Aquellos criterios que miden el impacto
de los riesgos desde el punto de vista financiero.
Cualitativos: Aquellos criterios que miden el impacto
de los riesgos intangibles, que generalmente no son
fáciles de medir desde el punto de vista financiero (Ej.
La reputación (imagen, temas legales, pérdida de
clientes, entre otros.)
Los cinco niveles de impacto ubicados en el mapa de
riesgos son:
• Crítico /Catastrófico
• Mayor/Grave
• Importante/Moderado
• Menor/Bajo
• Inferior/Menor.
Criterios Cualitativos
Catatrófico
- Influye directamente en el cumplimiento de la misión, visión,
metas y objetivos de la institución y puede implicar pérdida
patrimonial, incumplimientos normativos, problemas
operativos o impacto ambiental y deterioro de la imagen,
dejando además sin funcionar totalmente o por un período
importante de tiempo, afectando los programas, proyectos,
procesos o servicios sustantivos de la institución
Grave
- Dañaría significativamente el patrimonio, incumplimientos
normativos, problemas operativos o de impacto ambiental y
deterioro de la imagen o logro de las metas y objetivos
institucionales. Además se requiere una cantidad importante
de tiempo para investigar y corregir daños
 Análisis del Riesgo.
Magnitud de Impacto
Criterios Cualitativos
Corresponde a la evaluación del efecto y la
consecuencia producida al materializarse un riesgo al Moderado
interior de la entidad. Las variables que son tenidas en -
cuenta para definir el impacto se encuentran divididas - Causaría, ya sea una pérdida importante en el
en dos grupos: patrimonio o un deterioro significativo en la imagen
institucional.
Cuantitativos: Aquellos criterios que miden el impacto
de los riesgos desde el punto de vista financiero. Bajo

Cualitativos: Aquellos criterios que miden el impacto
de los riesgos intangibles, que generalmente no son
fáciles de medir desde el punto de vista financiero (Ej.
La reputación (imagen, temas legales, pérdida de
clientes, entre otros.)
- Causa un daño en el patrimonio o imagen institucional,
que se puede corregir en el corto tiempo y no afecta el
cumplimiento de las metas y objetivos institucionales
Bajo
Menor

Los cinco niveles de impacto ubicados en el mapa de - Riesgo que puede ocasionar pequeños o nulos efectos en la
riesgos son: institución.
• Crítico /Catastrófico
• Mayor/Grave
• Importante/Moderado
• Menor/Bajo
• Inferior/Menor.
Análisis del Riesgo.
Análisis del Riesgo.
 Identificación del Riesgo
Matriz de Riesgos
Proceso No Riesgo Del Proceso Tipo de Riesgo Evento / Falla Factor de riesgo
1 2 6
3 4 5

Proceso: No. de Riesgo:

1 2
Corresponde al nombre del proceso / al cual se está realizando la Escriba en esta columna consecutivamente desde “R1” hasta “Rn”
evaluación de Riesgos y Controles. dependiendo del número de riesgos en el proceso

Riesgo del proceso:

3 4 Tipo de Riesgo Operativo, Estratégico, Crediticio, Mercado,
Descripción del riesgo identificado en el proceso
Reputacional.
Un riesgo se identifica como todas aquellas situaciones que afectan
o impiden el cumplimiento del objetivo del proceso.
5 Descripción del evento / o lo que puede fallar.
Ejemplo de la redacción de un Riesgo:

Objetivo del proceso: Procesar y verificar oportunamente la

información de los pagos recibidos de los afiliados.
6 Factor de Riesgo: Infraestructura, Personal, Procesos, Tecnología.
Riesgo: Inoportunidad en la verificación y procesamiento de los
pagos recibidos de los afiliados.
 Evaluación del Riesgo.
Matriz de Riesgos

Severidad
Riesgo Del Tipo de Evento / Factor de Probabilidad Impacto del
Proceso No
Proceso Falla riesgo Riesgo
Riesgo Inherente
7 8 9

7 8 Impacto:
Probabilidad:
El impacto del riesgo sin tener en cuenta los controles asociados y de acuerdo con los
Calificación de la probabilidad de
criterios cuantitativos o cualitativos definidos
ocurrencia del riesgo sin tener
en cuenta los controles
En este punto, se tienen en cuenta los criterios para calificación de riesgos definidos.
asociados.
En este punto, se tienen en cuenta 9 Severidad
Severidaddel
delRiesgo Inherente:
Riesgo Inherente:
En
loseste punto,
criterios se tienen
para en cuenta
calificación de De acuerdo a la calificación de probabilidad e impacto inherente, se asigna la
los criterios
riesgos para calificación de
definidos. severidad del riesgo
riesgos definidos.
 Evaluación del Riesgo.
Se establece el Mapa de Riesgo Inherente

R1 Metodología aplicada de forma inadecuada para la medición o estimación de los riesgos .

R2 Operaciones ejecutadas por fuera del perfil de riesgos de la entidad por debilidad en el monitoreo y control.

R3 Informes y reportes internos o externos presentados con información errada o de manera inoportuna.
 MATRIZ DE RIESGO PARA LA CLASE
P
R I RIESGO
O Muy Alta/Recurrente EXTREMO DE
B ATENCION
A 5 5 25 125 625 3125 INMEDIATA II I
B
I
L IV RIESGO
I Alta/Muy probable ALTO DE
D 4 4 20 100 500 2500 SEGUIMIENTO III IV
A
D II RIESGO
MODERADO
D Moderada/Probable DE ATENCION
E
3 3 50 75 375 1875 PERIODICA
O
II RIESGO I RIESGO
C
III RIESGO MODERADO
U Baja/Inusual EXTREMO DE
R BAJO DE ATENCION ATENCION
R 2 2 10 50 250 1250 CONTROLADO PERIODICA INMEDIATA
E
N
C III RIESGO IV RIESGO
Muy Baja/Remota BAJO ALTO DE
I
A 1 1 5 25 125 625 CONTROLADO SEGUIMIENTO
1 5 25 125 625
Inferior/Menor. Menor/Bajo Importante/Moderado Mayor/Grave Crítico /Catastrófico
GRADO DE IMPACTO

RIESGO
≤ 10 BAJO CONTROLADO III
10 < y ≤ 75 MODERADO DE ATENCION PERIODICA II
75< y ≤ 500 ALTO DE SEGUIMIENTO IV
≥ 625 EXTREMO DE ATENCION INMEDIATA I
Etapa IV Evaluación de Controles
a) Comprobar la existencia o no de controles para cada factor de riesgo y,
en su caso, sus efectos
b) Describir los controles existentes para administrar los factores de riesgo
y, en su caso, sus efectos
c) Determinar el tipo de control: preventivo, correctivo o detectivo
d) Identificar en los controles:
▪ Deficiencia: No está documentado, no está formalizado, no se aplica, no es efectivo
▪ Suficiencia: Cuando se cumplen los requisitos anteriores

e) Determinar si el riesgo está controlado suficientemente

30
 Tratamiento de Riesgos

Tipos de Control – Por su

oportunidad

CONTROLES
PREVENTIVOS

• Intentan identificar los eventos no deseados una

CONTROLES vez que éstos han ocurrido.
DETECTIVOS

CONTROLES Se caracterizan por la toma de acciones

para prevenir eventos no deseados.
CORRECTIVOS
 Tratamiento de Riesgos

Clasificación Descripción

Preventivo (Pv) Controles claves que actúan antes o al inicio de una actividad.

Correctivo (Cr) Controles claves que actúan durante el proceso y que permiten corregir las
deficiencias.

Detectivo (Dt) Controles claves que solo actúan una vez que el proceso ha terminado.
 Tratamiento de Riesgos

Tipos de Control – Por su

naturaleza
M
Ejecutado por personas sin
A Manual
Y
intervención de un sistema
O
E
RF
E

C
T
I
V
I
El control se ejerce sin
Automático
intervención de personas a
D
través de un sistema
A
programado
D
 Tratamiento de Riesgos

Los Controles para una adecuada gestión de riesgos se

deben
validar en su:
DISEÑ EJECUCION
O
Podría operar bien pero no Podría estar
esta bien
bien diseñado ? diseñado
Pero opera
mal ?
 Tratamiento de Riesgos
Actividades de Control: Las actividades de control son las
acciones establecidas a través de políticas y procedimientos que
contribuyen a garantizar que se lleven a cabo las instrucciones
de la Dirección para mitigar los riesgos que inciden en el
cumplimiento de los objetivos.

Aspectos Claves de Diseño a Identificar en un

Control
Quién lleva a cabo el control (Responsable)
Frecuencia del Control (Cada cuanto se
realiza) Qué busca hacer el control (objetivo)
Cómo se lleva a cabo el control
(procedimiento) Que pasa con las
desviaciones y/o excepciones (Investigación y
análisis)
Evidencia de la ejecución del control (La firma no es
evidencia suficiente de que un control se ejecuto)
 Tratamiento de Riesgos
Documentación del Control : La documentación del es
parte
control fundamental del control interno por que:

Información
Ayuda en la actualizada y de
Formación de referencia para el
Nuevo Personal resto de
empleados
Aporta Claridad
a las funciones.
(quien, que,
como, cuando,
evidencia).
Constituye un Establece
medio para expectativas de
conservar el desempeño y
conocimiento de conducta.
la organización
 Tratamiento de Riesgos

Ejemplo de una descripción de una actividad

de control:
La Coordinadora de Costos de Personal mensualmente cuadra los saldos de nomina del
aplicativo vs contabilidad de las cuentas de nomina (vacaciones, sueldos, bonificaciones, horas
extras, pasivos pensionales), extractando la información directamente del aplicativo de People
SOFT y comparándola con los auxiliares contables suministrados por el área de contabilidad
cuenta 5120 Costo de personal, 2710 Pasivos consolidados, 2740 Calculo actuarial y 2810 pasivos
laborales, en caso de existir diferencias se establecen y se solicitan las aclaraciones y
correcciones correspondientes . Como evidencia de la revisión imprime el cuadre en Excel del
comparativo y lo firma en señal de aprobación .

4.Cómo se lleva a cabo el control (procedimiento)

1.Quién lleva a cabo el control (Responsable)
2.Frecuencia del Control (Cada cuanto se
realiza)
3.Qué busca hacer el control (objetivo)
5.Que pasa con las desviaciones y/o excepciones
(Investigación y análisis)
6.Evidencia de la ejecución del control (La firma no es
evidencia suficiente de que un control se ejecuto)
 Tratamiento de Riesgos

Como debe estar redactado un control en una matriz de riesgos, para que desde
la lectura se pueda hacer una idea preliminar del diseño del control y que
realmente sea un control:

Frecuencia Que
Cuando
Quien
El Profesional de Nomina mensualmente a partir de la segunda semana del cierre del mes, realiza los
cuadres de saldos de cuentas de nomina (vacaciones, sueldos, bonificaciones, horas extras, pasivos
pensionales, etc.) comparando los saldos reportados en el aplicativo SRH Vs Saldos contables del
aplicativo PEOPLE SOFT, en caso de observar diferencias solicita las justificaciones o correcciones,
como evidencia del control deja conciliación en Excel con las justificaciones a las diferencias en caso
que existan.
Como Que pasa si hay Evidencia
excepciones.
 Actividades de Control Clave Comunes
Actividades de control más comunes que se pueden considerar como claves en los procesos de una
organización son:
 
 Aprobar: Autorización para ejecutar una transacción, otorgada por una persona que tiene facultades
para hacerlo.
 Calcular: Computar o volver a computar un importe que resulta de otros datos obtenidos en el
proceso
 Documentar: Preservar información original o documentar la base lógica de las opiniones emitidas
para referencia futura
 Examinar: Verificar la existencia o el surgimiento de un atributo
 Comparar: Comparaciones entre dos atributos diferentes para verificar si coinciden
 Controlar: Verificar para asegurar que una acción se esté realizando
 Restringir: No permitir una acción no aceptable
 Segregar: Separar las responsabilidades incompatibles que pueden crear la posibilidad para una
acción no deseada
 Supervisar: Proporcionar instrucciones y supervisión para asegurar que las acciones y las tareas se
lleven a cabo tal como se diseñaron
 Tratamiento de Riesgos

Mitiga la Causa Asociada

La frecuencia del control permite identificar un error oportunamente

Un Control Bien La persona que ejecuta el control tiene el conocimiento y la experiencia suficiente.

Existe segregación de funciones en quien hace la actividad y el que ejecuta el

control.
Diseñado
La Información utilizada para realizar el control es adecuada y confiable.

Las excepciones resultantes de ejecutar el control son resueltas oportunamente

Es posible reprocesar la actividad de control de acuerdo a las evidencias y soportes anexos

de su ejecución.
 Aspectos a considerar para revisar y analizar el diseño de un control
 El control debe expresarse con un breve detalle de las actividades de control realizadas,
 Analizar su nivel de documentación y segregación de funciones (quién autoriza o revisa debe
ser distinta a quién ejecuta)
 El control debe expresarse claramente, señalando qué se hace, cómo se hace, quién lo hace y
cuándo lo realiza
 Una vez definido, se debe evaluar si el control mitigante asociado a un riesgo tiene un nivel
de cumplimiento adecuado respecto de los requisitos de control básicos para dar razonable
seguridad de cumplimiento de los objetivos y metas
 Determinar si los requisitos se cumplen satisfactoriamente, es decir, que el control esté
sustentado en una estructura básica sólida
 Clasificar el nivel de efectividad del control examinado:
Deficiencia: No está documentado, no está formalizado, no se aplica, no es efectivo;
Suficiencia: Cuando se cumplen los requisitos anteriores
Etapa V.- Evaluación de RIESGOS respecto de controles
Valoración final del impacto y de la probabilidad de ocurrencia del riesgo
Confronta de los resultados de la evaluación de riesgos y de controles, para
determinar la vulnerabilidad a que está expuesta la Institución, considerando:
a) La valoración final del riesgo nunca podrá ser superior a la inicial
b) Si los controles del riesgo son suficientes, la valoración final del riesgo
debe
ser inferior a la inicial
c) Si alguno de los controles del riesgo es deficiente o no existen, la
valoración
final deberá ser igual a la inicial
d) La valoración final carecerá de validez cuando no considere la valoración
inicial del impacto y probabilidad de ocurrencia, la totalidad de controles y
la etapa de evaluación de controles
Tratamiento de Riesgos
 Tratamiento de Riesgos
RIESGO DESPUES DE CONTROLES

El riesgo residual es aquél que permanece después que la Dirección toma las
acciones de control necesarias para reducir la probabilidad y consecuencia del
riesgo.

Criterios para la valoración del riesgo residual

CRITERIOS VALORACIÓN DEL RIESGO DESPUES DE CONTROLES

No existe actividades de control Se mantiene el nivel de riesgo residual

Existen actividades de control Se reduce en un nivel del riesgo inicial

Existen actividades de control eficaces Se reduce en dos niveles de riego . inicial

Etapa VI.- Mapa de Riesgos
Representación gráfica de riesgos que vincula la probabilidad de ocurrencia
y su impacto en forma clara y objetiva
Los riesgos se ubican por cuadrantes en la Matriz de Administración de
Riesgos y se grafican en el Mapa de Riesgos, en función de la valoración
final del impacto en el eje horizontal y la probabilidad de ocurrencia en el eje
vertical

de atención I. Riesgos
II. Riesgos
de atención
periódica inmediata

IV. Riesgos III. Riesgos

controlados de
seguimiento
 Mapa de Riesgos

II. Riesgos de Atención I.- Riesgos de Atención

Periódica. Inmediata.
Son críticos por su alta
Tienen alta probabilidad de probabilidad de ocurrencia y grado
ocurrencia y bajo grado de de impacto.
Probabilidad

impacto

III. Riesgos Controlados. IV. Riesgos de Seguimiento.

Son de baja probabilidad de Tienen baja probabilidad de
ocurrencia y grado de impacto ocurrencia y alto grado de impacto

Impacto
 MATRIZ DE RIESGO PARA LA CLASE
P
R I RIESGO
O Muy Alta/Recurrente EXTREMO DE
B ATENCION
A 5 5 25 125 625 3125 INMEDIATA II I
B
I
L IV RIESGO
I Alta/Muy probable ALTO DE
D 4 4 20 100 500 2500 SEGUIMIENTO III IV
A
D II RIESGO
MODERADO
D Moderada/Probable DE ATENCION
E
3 3 50 75 375 1875 PERIODICA
O
II RIESGO I RIESGO
C
III RIESGO MODERADO
U Baja/Inusual EXTREMO DE
R BAJO DE ATENCION ATENCION
R 2 2 10 50 250 1250 CONTROLADO PERIODICA INMEDIATA
E
N
C III RIESGO IV RIESGO
Muy Baja/Remota BAJO ALTO DE
I
A 1 1 5 25 125 625 CONTROLADO SEGUIMIENTO
1 5 25 125 625
Inferior/Menor. Menor/Bajo Importante/Moderado Mayor/Grave Crítico /Catastrófico
GRADO DE IMPACTO

RIESGO
≤ 10 BAJO CONTROLADO III
10 < y ≤ 75 MODERADO DE ATENCION PERIODICA II
75< y ≤ 500 ALTO DE SEGUIMIENTO IV
≥ 625 EXTREMO DE ATENCION INMEDIATA I
Etapa VII.- Estrategias y Acciones de Control (AC) para responder a los riesgos

a) Las estrategias son las políticas de respuesta para administrar los

riesgos, basados en la valoración final del impacto y de la
probabilidad de ocurrencia del riesgo, para determinar Acciones de
Control por cada factor de riesgo

Evitar – Reducir – Asumir – Transferir – Compartir

b)Las acciones de control se definirán a partir de las estrategias

determinadas para los factores de riesgo

48
Etapa VII.- Estrategias y Acciones de Control (AC) para responder a los riesgos.

1. Evitar el riesgo

2. Reducir o mitigar el riesgo

3. Asumir el riesgo

4. Transferir el riesgo

5. Compartir el riesgo
 Tratamiento del Riesgo.
Identificar las opciones de mitigación de riesgo
Identificar las opciones para mitigar/tratar los riesgos consiste en realizar la evaluación de
dichas opciones, preparar los planes de mitigación de riesgos y su implementación. Sin
embargo, la Organización puede decidir aceptar el riesgo sin tomar acciones adicionales …

Tratamiento / Mitigación del riesgo:

Son las alternativas seleccionadas por la Entidad para mitigar los
riesgos.
Mitigación / Tratamiento del
Riesgo

Transferir Posibles
estrategias
Apetito Reducir establecidas
de Riesgo por la
Evitar
Dirección de
la Entidad.

Aceptar
Tratamiento del Riesgo.
 TRATAMIENTO DEL RIESGO
• Se refiere a eliminar el factor o factores que puedan provocar la materialización del
Evitar el riesgo
Riesgo

• Implica establecer acciones dirigidas a disminuir la probabilidad de ocurrencia y el

Reducir el impacto
Riesgo

• Se aplica cuando los riesgos son controlados, de baja probabilidad de ocurrencia y

Asumir grado de impacto, por lo que puede aceptarse sin necesidad de tomar medidas de
control diferentes a las actuales
el Riesgo

• Consiste en trasladar el riesgo a un externo a través de contratación de servicios

Transferir tercerizados con la experiencia y especialización para asumir el riesgo y sus
el Riesgo impactos

• Distribuir parcialmente el riesgo y sus efectos, canalizándolo a diferentes áreas o

Compartir unidades administrativas, para que se hagan responsables de la parte del riesgo que
el Riesgo le corresponde
 TRATAMIENTO DEL RIESGO
Para que el tratamiento de los riesgos sea efectivo :

 es necesario adoptar determinadas medidas y acciones encaminadas a

modificar, reducir o eliminar el riesgo.
 estas medidas o acciones, tienen un costo de puesta en práctica que debe ser
asumido por la empresa.
 si se decide no adoptar ninguna medida contra el riesgo, se puede tener
importantes pérdidas.
 para elegir la estrategia más correcta con la que hacer frente al riesgo en cada
caso concreto, se debe, por un lado, analizar el costo de cada una de las
diferentes medidas que podríamos adoptar de forma efectiva; y por el otro lado,
evaluar y cuantificar las posibles pérdidas que derivarían de la no adopción de
medidas contra el riesgo.
 al comparar los resultados, podremos saber si debemos actuar o no ante el
riesgo, y en caso de decidir actuar, cual será la medida más adecuada.
 TRATAMIENTO DEL RIESGO
El tratamiento del riesgo debe ser el más apropiado de acuerdo a su importancia y
relevancia en la actividad de la empresa.

En una primera aproximación, podemos mencionar:

• Los riesgos de bajo nivel, pueden ser aceptados, pudiendo no ser necesaria una
acción adicional, aunque se requiera su control y seguimiento,

• Los riesgos de nivel significativo deben ser tratados y controlados siempre, y su

aceptación o no, responderá a la estrategia de la compañía y a la oportunidad
que el riesgo pueda generar,

• Los niveles altos de riesgo requerirán de una cuidadosa administración y

gestión, así como de la preparación de planes específicos para administrar y
corregir posibles consecuencias.
 TRATAMIENTO DEL RIESGO
Actividades de Control: Las actividades
de control son las acciones establecidas
a través de políticas y procedimientos
que contribuyen a garantizar que se
lleven a cabo las instrucciones de la
Dirección para mitigar los riesgos que
inciden en el cumplimiento de los
objetivos.
 TRATAMIENTO DEL RIESGO (ejemplos)

Usted trabaja en “La Entidad Dinero a Toda Hora” y debe analizar que
medida de tratamiento o de mitigación tomaría en los siguientes riesgos y
casos que se han presentado en la organización.

1. Se le ha presentado a la entidad en el transcurso del 2014, ocho 8 eventos de riesgo materializados por suplantación de clientes que solicitan
cartera de crédito y que han representado una perdida de 30.000 dólares al año, sobre una utilidad de 2.500.000 dólares . Al evaluar las
alternativas a implementar la alternativa que existe para garantizar que esto no pase por el Gerente de Crédito es :

a. Implementar un mecanismo de identificación directa donde se le tome la huella al cliente y directamente se coteja con la
registradora publica y salgan los datos de manera automática del cliente, como nombres, apellidos, identificación, etc . Este sistema
vale implementarlo 250.000 dólares y un pago a la registraduria por el servicio mensual de 6.000 dólares mensuales .

Usted que acción tomaría : Aceptar el Riesgo / Evitar el Riesgo / Compartir o transferir / Reducir o Mitigar el Riesgo.
 TRATAMIENTO DEL RIESGO (ejemplos)

2. Existen indicios que hay personas que están reportando horas extras trabajadas después de la salidad (5:30 pm) sin
trabajarlas y en muchos de los casos ya se han ido de la organización, y reportan horas extras como si estuvieran
laborando . Al Analizar los rubros mensuales de la nomina el pago de horas extras asciende mensualmente a 1.500
dólares mensuales de una nomina de 730.000 Dólares mensuales, la entidad esta evaluando para mitigar este
riesgo dentro se sus alternativas instalar un identificador de llegada y salida de los funcionarios a través de huellas que
permita identificar y cotejar con el reporte de horas extras las entradas y salidas del personal, los equipos y la
installation en las zonas de trabajo cuestan 30.000 dólares, y un mantenimiento mensual de 1.250 dólares .

Usted que acción tomaría : Aceptar el Riesgo / Evitar el Riesgo / Compartir o transferir / Reducir o Mitigar el Riesgo.
 TRATAMIENTO DEL RIESGO (ejemplos)
3. En el año 2014, la entidad tuvo 150 eventos de perdida materializados por adulteración o pago de cheques ficticios que
ascendieron a 800.000 dólares, el 10% de sus ingresos, al realizar las investigaciones correspondientes se llego a la
conclusión de que los controles se realizaron, pero el papel y las firmas eran de muy buena calidad y a simple vista del cajero
o con los líquidos de seguridad era difícil identificar su adulteración, la empresa a la fecha tiene una propuesta de la
empresa Chequeando, que son expertos peritos en seguridad y detección de firmas y documentación fraudulenta y están
proponiendo a la entidad prestar el servicio de revisión de cheques por un valor mensual de 4.000 dólares mensuales y en caso
de que se presente algún ilícito por adulteración la Empresa chequeando reconoce el pago al Banco de los dineros que
le llegaran a defraudar .

Usted que acción tomaría : Aceptar el Riesgo / Evitar el Riesgo / Compartir o transferir / Reducir o Mitigar el Riesgo.
 TRATAMIENTO DEL RIESGO

RIESGOS MEDIDA
ANTES S
DE
MEDIDAS
Inherente EVITA
R

RIESGOS
DESPUES
DE
MEDIDAS
No Hay
Riesgo
 TRATAMIENTO DEL RIESGO

RIESGOS MEDIDA RIESGOS

ANTES S DESPUES
DE DE
MEDIDAS MEDIDAS
Inherente ACEPTAR Residual
 TRATAMIENTO DEL RIESGO

RIESGOS MEDIDA RIESGOS

ANTES S DESPUES
DE DE
MEDIDAS MEDIDAS
Inherente ACEPTAR Residual
 TRATAMIENTO DEL RIESGO

RIESGOS MEDIDA
ANTES S
DE
MEDIDAS
Inherente REDUCI
R
COMPARTIR

RIESGOS
DESPUES
DE
MEDIDAS