MATRIZ DE RIESGO

ORGANIZACIÓN:Embajada

Evaluación de Riesgo
Evaluación de Riesgo Residual
Inherente Respuesta al Riesgo
Nivel de Riesgo Nivel de Riesgo
Unidad Orgánica Proceso Sub proceso Riesgo Nivel de Riesgo Inherente Control Existente Nivel de Riesgo Residual
(P x I) (P x I x V) Control
Acción Responsable
Probabilidad Impacto Probabilidad Impacto Vulnerabilidad Necesario

- Descripción del
Control conforme la reglas, las
Elegir una sede con criterios procedimiento del metodo
leyes, preparación del
subjetivos y no tomando en cuenta de elección de la sede Implementar un mapa de riesgos con
1 Gerencia de Gestión del la sede elección del lugar cual es el más adecuado a un nivel 2 3 6 - Código de ética y 1 3 0.4 1.2 el objetivo de tener posibles zonas
documentario que contiene los Jefe de seguridad, el
Operaciones datos del local, las fotos y el gerente de contabilidad
protocolar y de seguridad personal reglamento de trabajo con un nivel de riesgo minimo
estudio de la zona, conforme los
para un país conforme la ley del país de
criterios de seguridad
origen

- Estrategia de programas
Concertación de programas con Control y seguimento del
anuales bajo el control con
Departamento de Programas de intereses o gustos personales y no Realizar el cronograma conforme a la cronograma con el Departamento Jefe de misión, Gerente de
2 Gerencia de Finanzas
Gestión Central actividades analizando cual es mas eficaz para
3 3 9 el Ministerio 1 2 0.2 0.4 estrategia anual. responsable del tema de los contabilidad
- Control de presupuesto
la promoción de un país programas.
 Cálculo de Probabilidad o Frecuencia

Respuesta
Pregunta: Si el riesgo se materializa, podría generarse
N° N°
problemas con
Si No
¿La actividad principal de la organización, tiene relación
1 x 1
directa con la posible comisión de delitos?
¿Se han producido antecedentes de situaciones similares en
2 x 2
los últimos 5 años?
¿Se han producido más de 2 situaciones similares en los
3 x 3
últimos 5 años?
¿El número de personas de la organización dedicadas al
4 x 4
proceso asociado es superior al 10%?
¿El número de personas de la organización dedicadas al
5 x 5
proceso asociado es superior al 30%?

6 ¿El proceso asociado se realiza al menos una vez al año? x 6

¿El proceso asociado se realiza todos los meses en la

7 organización? x 7

10

Respuestas: Respuestas:
Responder negativamente TODAS las preguntas genera una probabilidad MUY BAJA
(MUY IMPROBABLE) (1). Responder afirmativa
Responder afirmativamente a UNA pregunta genera una probabilidad BAJA
(IMPROBABLE) (2). Responder afirmativa
Responder afirmativamente a DOS o TRES preguntas genera una probabilidad
MODERADA (3). Responder afirmativa
Responder afirmativamente de CUATRO o CINCO preguntas genera una probabilidad
ALTA (PROBABLE) (4). Responder afirmativa
Responder afirmativamente a SEIS O SIETE preguntas genera una probabilidad
MUY ALTA (CASI CERTEZA) (5). Responder afirmativa
 Cálculo del Impacto

Respuesta
Pregunta: Si el riesgo se materializa, podría generarse
problemas con
Si No
¿Afectar al cumplimiento de los objetivos o la misión de la
x
organización?
¿Generar pérdida de confianza en la organización, afectando su
x
gravemente reputación?

¿Generar pérdida relevante de recursos económicos? x

¿Afectar a la prestación o la disponibilidad de los

x
servicios/productos?
¿Dar lugar al detrimento de la calidad de los servicios o
x
productos?

¿Generar pérdida relevante de información de la organización? x

¿Dar lugar a incumplimientos que deriven en procesos fiscales,

sancionadores, penalizaciones y/o disciplinarios? x

¿Afectar a la integridad física o salud de las personas

x
involucradas?

¿Afectar a la imagen pública de la organización? x

¿Afectar a todo el Servidor (o a la mayor parte) de la

x
organización?
Respuestas: 7 GRADO DE SEVERIDAD: MODERA

Responder afirmativamente a UNA pregunta genera un impacto INSIGNIFICANTE (1).

Responder afirmativamente a DOS o TRES preguntas genera un impacto BAJO (2).

Responder afirmativamente de CUATRO a SEIS preguntas genera un impacto MODERADO (3).

Responder afirmativamente a SIETE u OCHO preguntas genera un impacto ALTO (4).

Responder afirmativamente a NUEVE o DIEZ preguntas genera un impacto CATASTRÓFICO (5).

RADO DE SEVERIDAD: MODERADO
 Cálculo de Probabilidad o Frecuencia

Respuesta
Pregunta: Si el riesgo se materializa, podría generarse
N° N°
problemas con
Si No
¿La actividad principal de la organización, tiene relación
1 x 1
directa con la posible comisión de delitos?
¿Se han producido antecedentes de situaciones similares en
2 x 2
los últimos 5 años?
¿Se han producido más de 2 situaciones similares en los
3 x 3
últimos 5 años?
¿El número de personas de la organización dedicadas al
4 x 4
proceso asociado es superior al 10%?
¿El número de personas de la organización dedicadas al
5 x 5
proceso asociado es superior al 30%?

6 ¿El proceso asociado se realiza al menos una vez al año? x 6

¿El proceso asociado se realiza todos los meses en la

7 organización? x 7

10

Respuestas: 4 Respuestas:
Responder negativamente TODAS las preguntas genera una probabilidad MUY BAJA
(MUY IMPROBABLE) (1). Responder afirmativa
Responder afirmativamente a UNA pregunta genera una probabilidad BAJA
(IMPROBABLE) (2). Responder afirmativa
Responder afirmativamente a DOS o TRES preguntas genera una probabilidad
MODERADA (3). Responder afirmativa
Responder afirmativamente de CUATRO o CINCO preguntas genera una probabilidad
ALTA (PROBABLE) (4). Responder afirmativa
Responder afirmativamente a SEIS O SIETE preguntas genera una probabilidad
MUY ALTA (CASI CERTEZA) (5). Responder afirmativa
 Cálculo del Impacto

Respuesta
Pregunta: Si el riesgo se materializa, podría generarse
problemas con
Si No
¿Afectar al cumplimiento de los objetivos o la misión de la
x
organización?
¿Generar pérdida de confianza en la organización, afectando su
x
gravemente reputación?

¿Generar pérdida relevante de recursos económicos? x

¿Afectar a la prestación o la disponibilidad de los

x
servicios/productos?
¿Dar lugar al detrimento de la calidad de los servicios o
x
productos?

¿Generar pérdida relevante de información de la organización? x

¿Dar lugar a incumplimientos que deriven en procesos fiscales,

sancionadores, penalizaciones y/o disciplinarios? x

¿Afectar a la integridad física o salud de las personas

x
involucradas?

¿Afectar a la imagen pública de la organización? x

¿Afectar a todo el Servidor (o a la mayor parte) de la

x
organización?
Respuestas: 7 GRADO DE SEVERIDAD: MODERA

Responder afirmativamente a UNA pregunta genera un impacto INSIGNIFICANTE (1).

Responder afirmativamente a DOS o TRES preguntas genera un impacto BAJO (2).

Responder afirmativamente de CUATRO a SEIS preguntas genera un impacto MODERADO (3).

Responder afirmativamente a SIETE u OCHO preguntas genera un impacto ALTO (4).

Responder afirmativamente a NUEVE o DIEZ preguntas genera un impacto CATASTRÓFICO (5).

RADO DE SEVERIDAD: MODERADO
 CÁLCULO DE LA VULNERABILIDAD
GRADO DE APLICACIÓN (A)
Aspectos Valor
Existen herramientas informáticas o similares que permitan una gestión de 3
control con independencia de personas.

El control ha sido informado, es conocido por toda la organización o, como

5
mínimo, por las personas y/o áreas afectadas por el mismo.

El control es aceptado por el conjunto de la organización o por las personas

y/o áreas sobre las que les es de aplicación. Es decir, que no existen eventos 5
que puedan indicar que se ha dejado de aplicar por voluntad de personas.

Existen mecanismos de verificación del seguimiento de las normas. 4

Promedio 4.25

FRECUENCIA EN SU EJECUCIÓN Y SEGUIMIENTO (B)

Aspectos Valor
El control se realiza de forma sistemática y con la frecuencia necesaria para
5
cumplir su objetivo.

Se produce un seguimiento de su ejecución en los plazos establecidos sin

4
necesidad de que sea requerido por la Alta Dirección.

Se han establecido y definido los plazos de ejecución del control, su revisón

4
y supervisión, realizándose de la forma preestablecida.

Promedio 4.33

DETERMINACIÓN Y DEFINICIÓN DE RESPONSABLES (C)

Aspectos Valor
Existen responsables predefinidos de la correcta ejecución del control. 5
Existe una supervisión constante de los responsables de la ejecución de
5
control.
Entre las responsabilidades de los puestos existentes se encuentra la
correcta supervisión del mencionado control y está ligado a la evaluación 4
del responsable.
Promedio 4.67

CARÁCTER PREVENTIVO (D)

Aspectos Valor
El control permite actuar de forma que restrinja la comisión de la actividad
4
que puede generar el riesgo.
El control facilita o dispone de la existencia de mecanismos de información
e identificación de una amenaza con tiempo suficiente para articular una 3
reacción frente a la misma.

Las personas responsables del control disponen de los recursos, medios y

5
autoridad suficientes para abortar una posible amenaza.
Existen protocolos establecidos en la organización para proceder ante un
5
riesgo advertido por el control.
Promedio 4.25

GRADO DE DOCUMENTACIÓN O EVIDENCIA (E)

Aspectos Valor
Existen documentos o registros que puedan acreditar el cumplimiento del 4
control.
Los registros o documentos acreditativos del cumplimiento del control se
custodian de una forma eficiente que garantice que no se pueda extraviar, 4
destruir, etc.
Los documentos que evidencian el cumplimiento garantizan acreditar el 4
registro temporal de su ejecución.
Promedio 4.00
EFECTIVIDAD DE CONTROL 4.30

El grado de efectividad del control se calcula con la siguiente fórmula:

Efectividad de control= (A) + (B) + (C) + (D) +(E)
Número de Factores
VULNERABILIDAD
Valor Aplicación existente
1 Muy deficiente

2 Deficiente

3 Insuficiente

4 Mejorable

5 Apropiada

Valor Frecuencia en su Ejecución y Seguimiento

1 Inicial

2 Gestionado

3 Definido

4 Gestionado cuantitativamente

5 Optimizado

Valor Determinación y definición de responsables del mismo

1 Muy deficiente
2 Deficiente
3 Insuficiente

4 Mejorable

5 Apropiada

Valor Carácter Preventivo

1 Muy deficiente

2 Deficiente

3 Insuficiente

4 Mejorable
 5 Apropiada

Valor Grado de documentación o evidencia

1 Muy deficiente

2 Deficiente

3 Insuficiente

4 Mejorable

5 Apropiada

Grado de Protección
Rango de Reducción de Valoración Vulnerabilidad
Existente

<=1: Muy
deficiente No reduce riesgo = 0 1–0=1
<=2: Deficiente Mínima reducción (20 %) = 0,2 1 – 0,2 = 0,8
<=3: Insuficiente Moderado (40 %) = 0,4 1 – 0,4 = 0,6
<=4: Mejorable Medio (60 %) = 0,6 1 – 0,6 = 0,4
<=5: Apropiada Alto (80 %) = 0,8 1 – 0,8 = 0,2

Riesgo Residual : P x I x V

El riesgo residual puede ubicarse en una de las cinco

(5) zonas de riesgo que a continuación se
muestran:

RANGO
Extremo [ 15 – 25>]
Crítico [ 10 – 15>]
Alto [ 5 – 10>]
Moderado [ 3 – 5>]
Bajo [ 1 – 3>]

Si luego de la evaluación del riesgo residual se obtiene un nivel de riesgo superior

al “riesgo bajo”, se debe implementar controles adicionales para reducir y/o
mitigar dichos riesgos.
 CÁLCULO DE LA VULNERABILIDAD
GRADO DE APLICACIÓN (A)
Aspectos Valor
Existen herramientas informáticas o similares que permitan una gestión de 4
control con independencia de personas.

El control ha sido informado, es conocido por toda la organización o, como

4
mínimo, por las personas y/o áreas afectadas por el mismo.

El control es aceptado por el conjunto de la organización o por las personas

y/o áreas sobre las que les es de aplicación. Es decir, que no existen eventos 5
que puedan indicar que se ha dejado de aplicar por voluntad de personas.

Existen mecanismos de verificación del seguimiento de las normas. 5

Promedio 4.50

FRECUENCIA EN SU EJECUCIÓN Y SEGUIMIENTO (B)

Aspectos Valor
El control se realiza de forma sistemática y con la frecuencia necesaria para
4
cumplir su objetivo.

Se produce un seguimiento de su ejecución en los plazos establecidos sin

5
necesidad de que sea requerido por la Alta Dirección.

Se han establecido y definido los plazos de ejecución del control, su revisón

5
y supervisión, realizándose de la forma preestablecida.

Promedio 4.67

DETERMINACIÓN Y DEFINICIÓN DE RESPONSABLES (C)

Aspectos Valor
Existen responsables predefinidos de la correcta ejecución del control. 5
Existe una supervisión constante de los responsables de la ejecución de
5
control.
Entre las responsabilidades de los puestos existentes se encuentra la
correcta supervisión del mencionado control y está ligado a la evaluación 5
del responsable.
Promedio 5.00

CARÁCTER PREVENTIVO (D)

Aspectos Valor
El control permite actuar de forma que restrinja la comisión de la actividad
5
que puede generar el riesgo.
El control facilita o dispone de la existencia de mecanismos de información
e identificación de una amenaza con tiempo suficiente para articular una 4
reacción frente a la misma.

Las personas responsables del control disponen de los recursos, medios y

5
autoridad suficientes para abortar una posible amenaza.
Existen protocolos establecidos en la organización para proceder ante un
5
riesgo advertido por el control.
Promedio 4.75

GRADO DE DOCUMENTACIÓN O EVIDENCIA (E)

Aspectos Valor
Existen documentos o registros que puedan acreditar el cumplimiento del 5
control.
Los registros o documentos acreditativos del cumplimiento del control se
custodian de una forma eficiente que garantice que no se pueda extraviar, 5
destruir, etc.
Los documentos que evidencian el cumplimiento garantizan acreditar el 5
registro temporal de su ejecución.
Promedio 5.00
EFECTIVIDAD DE CONTROL 4.78

El grado de efectividad del control se calcula con la siguiente fórmula:

Efectividad de control= (A) + (B) + (C) + (D) +(E)
Número de Factores
VULNERABILIDAD
Valor Aplicación existente
1 Muy deficiente

2 Deficiente

3 Insuficiente

4 Mejorable

5 Apropiada

Valor Frecuencia en su Ejecución y Seguimiento

1 Inicial

2 Gestionado

3 Definido

4 Gestionado cuantitativamente

5 Optimizado

Valor Determinación y definición de responsables del mismo

1 Muy deficiente
2 Deficiente
3 Insuficiente

4 Mejorable

5 Apropiada

Valor Carácter Preventivo

1 Muy deficiente

2 Deficiente

3 Insuficiente

4 Mejorable
 5 Apropiada

Valor Grado de documentación o evidencia

1 Muy deficiente

2 Deficiente

3 Insuficiente

4 Mejorable

5 Apropiada

Grado de Protección
Rango de Reducción de Valoración Vulnerabilidad
Existente

<=1: Muy
deficiente No reduce riesgo = 0 1–0=1
<=2: Deficiente Mínima reducción (20 %) = 0,2 1 – 0,2 = 0,8
<=3: Insuficiente Moderado (40 %) = 0,4 1 – 0,4 = 0,6
<=4: Mejorable Medio (60 %) = 0,6 1 – 0,6 = 0,4
<=5: Apropiada Alto (80 %) = 0,8 1 – 0,8 = 0,2

Riesgo Residual : P x I x V

El riesgo residual puede ubicarse en una de las cinco

(5) zonas de riesgo que a continuación se
muestran:

RANGO
Extremo [ 15 – 25>]
Crítico [ 10 – 15>]
Alto [ 5 – 10>]
Moderado [ 3 – 5>]
Bajo [ 1 – 3>]

Si luego de la evaluación del riesgo residual se obtiene un nivel de riesgo superior

al “riesgo bajo”, se debe implementar controles adicionales para reducir y/o
mitigar dichos riesgos.
 Riesgo Control Existente

Control conforme la reglas, las leyes, preparación del documentario

Eligir el local ideneo para cumplir los requisitos de protocolo y
que contiene los datos del local, las fotos y el estudio de la zona,
de seguridad conforme los criterios de seguridad

Control y seguimento del cronograma con el Departamento

Programas de actividades
responsable del tema de los programas.
 Efectividad Grado de Rango de
A B C D E Vulnerabilidad
del Control Protección Reducción

4.25 4.33 4.67 4.25 4.00 4.30 Mejorable 0.6 0.4

4.50 4.67 5.00 4.75 5.00 4.78 Apropiada 0.8 0.2