Universidad Central del Ecuador

Facultad de Ciencias Administrativas

Carrera de Contabilidad y Auditoria

Grupo N°11

Docente:
Dra. Liliana Morillo

Asignatura:
Control Interno

Paralelo:
CA 4- 002

Tema:
Matriz de Riesgos

Integrantes:

Mendoza Sarzosa Karen Marisol

Montaguano Pérez Melany Lisbeth
Paz Viscaino Darla Noemi
Pillajo Cumbal Wesly Sebastián
Quipo Alquinga Jeniffer Pamela (Coordinador)

Fecha de entrega:

Domingo 12 de noviembre del 2023

Periodo Académico:
2023 - 2024
Matriz de Riesgos

Concepto

Según Becerra, E., Torres, M., Subia, J, Mantilla, D. (2017) Una matriz de riesgos es un documento
en el que se identifican, evalúan y priorizan los riesgos principales que están asociados con el
cumplimiento de los objetivos.

Entonces, una matriz de riesgo es utilizada por las empresas como una herramienta para identificar,
evaluar y gestionar la probabilidad o gravedad de los riesgos que están vinculados a la auditoría y
que pueden generar inconvenientes en el cumplimiento de los principales objetivos, así como
puede servir de apoyo para que al profesional genere un plan centrado en los riesgos más críticos
y medir su gravedad ya sea baja, moderada o alta.

Objetivos

Según el Grupo Protek (2020), los objetivos de una matriz de riesgos son los siguientes:
• Constituir una herramienta fácil de usar para aumentar la visibilidad de los riesgos.
• Dimensionar los riesgos y saber si están controlados o no.
• Ayudar al proceso de toma de decisiones.
• Priorizar acciones.
• Conectar los distintos departamentos, áreas o proyectos para unificar estrategias y obtener
un análisis más profundo y relevante.
• Integrar los riesgos del mercado y los externos a la evaluación.
• Proteger los objetivos de la organización.
• Lograr una mejora continua.

Roles y responsabilidades.

Los roles y responsabilidades relativas a la gestión de control interno y riesgos empresariales se

asignarán a los responsables del Proceso de Control Interno así como a todo el personal que
gestione los procesos de la institución.

El esquema organizativo de la gestión de control interno y riesgos empresariales debe ser

segmentado en tres estructuras de responsabilidad: estratégica, táctica y operativa.

Estructura Estratégica:

- Composición: Compuesta por los niveles de alta jerarquía de las empresas del Sector
Público Privado juntamente con los responsables de Procesos y Control Interno, que
generalmente se denominan: Directorios, Junta de Accionistas, Junta de Socios
- Responsabilidades: La definición, aprobación y supervisión de la estrategia, políticas,
procesos y procedimientos para la gestión de control interno y riesgos empresariales, así
como asegurar la existencia de los recursos necesarios para su correcta implantación.
Estructura Táctica

- Composición: Compuesta por la Alta Gerencia, generalmente denominada: Presidencia

Ejecutiva, Gerencias, Subgerencias (es decir primera y segunda autoridades en la línea de
mando).
- Responsabilidades: Comunicar de forma clara la estrategia, las políticas y la estructura de
la gestión de control interno y riesgos empresariales con el propósito de crear una cultura
de riesgos.

Estructura Operativa

- Composición: Compuesta por áreas operativas y de negocio relacionada con los procesos
de ingresos y gastos. (Financiera Administrativa, Legal y Regulatoria, Tecnología de
Información, Gestión de Talento Humano, Operaciones, etc.)
- Responsabilidades: Alta Gerencia: Diseñar y proponer las estrategias, políticas, procesos y
procedimientos de gestión de riesgo, así como, desarrollar metodologías y manuales de
gestión.

Roles y responsabilidades de acuerdo:

A continuación, se analizará las responsabilidades de cada rol desempeñado en el cual consta bajo
el término de responsable y debido a su actividad dentro de las empresas:

1. Por responsable
Supervisión:
- Supervisar el perfil de Riesgos
- Informarse regularmente sobre la situación del riesgo de la institución, su evolución en el
tiempo y su perfil
- Informarse, periódicamente, de la implantación y cumplimiento de las estrategias,
políticas, procedimientos y límites aprobados; y, en el caso de determinar incumplimiento
o cumplimiento parcial, establecer las medidas correctivas
- Analizar el entorno económico, la industria, el mercado y su impacto en los negocios.
- Ser informado por la alta dirección sobre la eficacia del personal de la agencia y el
conocimiento de las estrategias, políticas, procesos y procedimientos de riesgo.

Aprobación:
- Aprobar las estrategias, políticas, procesos y procedimientos de gestión de riesgos.
- Comprobar el plan de control interno y gestión de riesgos empresariales, el cual formará
parte del plan operativo anual del proceso de control interno.
- Aprobar la estructura organizacional para el proceso de gestión de riesgo.
Ejecución:
- Comunicar la estrategia de riesgo, las políticas para su aplicación y la estructura de gestión
del riesgo.
- Aplicar la estrategia de gestión del riesgo.

Consejo:
- Proponer las estrategias, políticas, procedimientos, planes de tratamiento para la gestión
del riesgo.
- Proponer las metodologías para gestionar el riesgo, e implementar mecanismos que
aseguren su actualización
- Monitorear y analizar de forma sistemática el nivel de exposición del riesgo.
- Poner en práctica las políticas de gestión del riesgo.
 - Implantar el Plan de comunicación.
- Analizar el entorno económico, de la industria, de los mercados en los que se opera y sus
efectos en la empresa.
- Informar a la alta gerencia respecto de la efectividad y conocimiento por parte del personal
de
la institución, de las estrategias, políticas, procesos y procedimientos de riesgo.

Coordinación:
- Coordinar la gestión del riesgo con la administración de riesgos asociados.

Áreas Operativas/Propietarios del riesgo

Supervisión:
- Asegurarse de ejecución de la estrategia, implantación de políticas, metodologías, procesos
y procedimientos de riesgo.
- Conocer las exposiciones al riesgo con relación a los perfiles de comportamiento y
transaccionales.
- Informarse sobre la situación de gestión de control interno y riesgo empresariales de la
institución, sus cambios y evolución en el tiempo.
- Evaluar la eficacia y efectividad del Plan de Gestión del Riesgo.

Auditoría Interna
Ejecución
- Verificar la aplicación y efectividad del sistema adoptado para el seguimiento y auditoría
de riesgos
- Examinar la aplicación y eficacia del marco adoptado para el monitoreo y revisión del
riesgo

2. Por Actividad

Se lo realiza de acuerdo con la actividad a desarrollar dentro de los componentes del COSO II

- Ambiente de control: Administración de la empresa y supervisión fiscal.

- Establecimiento de objetivos: Alta Gerencia.
- Identificación de eventos: Procesos y Control Interno.
- Evaluación de riegos: Procesos y Control Interno.
- Respuesta al Riesgo: Procesos y Control Interno.
- Actividades de Control: Áreas Operativas y de Negocio.
- Información y comunicación: Alta Gerencia, Gerencia de Procesos y Control Interno.
- Supervisión: Procesos y Control Interno, Áreas Operativas y de Negocio

Estructura y Metodología

Estructura
Como se presenta anteriormente la gestión del riesgo involucra el Proceso de Gestión de Control
Interno y riesgo empresariales, formando parte de la cadena de valor de la empresa, es por ello que
se requiere identificar las fuentes de entrada que nos ayude a conocer información con la que los
dirigentes y el equipo de trabajo puedan desarrollar una matriz.

En resumen, se podría definir y catalogar a la estructura de la matriz de riesgos como un desglose

de las tipologías de riesgos presentados de manera esquemática.
 Dicha matriz de riesgos que se desarrollara cuenta con una estructura compuesta de 6 elementos
que se deben desarrollar en base y en seguimiento a una secuencia lógica, lo que implica que estos
no sean desarrollados de manera simultánea, así como también que estos sean prudentes y claros
para que la evaluación de riesgos y peligros sea oportuna, dichos elementos son los siguientes:
identificación dl subproceso, identificación de riesgos, factores de riesgos, riesgo inherente, riesgo
residual, plan de acción.

Metodología
La metodología para la gestión del control interno mediante el diseño de una matriz de riesgo de
acuerdo con los parámetros del “Enterprise Risk Mangement Framework” conocido también como
“COSO II” se basa en criterios desarrollados por expertos, por lo que para la calificación de
variables se debe utilizar criterios cualitativos y semi cualitativos, entonces su elaboración al estar
compuesta por conocimientos especializados y una metodología adecuada puede parecer
complicada de comprender; sin embargo para un correcto entendimiento, elaboración y ejecución
debemos mantener el principio de la simplicidad.

Identificación de riesgos
En esta etapa se debe revisar las fuentes de información con eventos de riesgo de acuerdo con la
naturaleza y características de los factores de riesgo posibles que puedan presentarse y que afecten
significativamente a la empresa o sus actividades. Por lo que pueden aplicarse la técnica de la
lluvia de ideas para identificar esos riesgos que luego serán evaluados.

Valoración de Riesgos
Para la valoración de los riesgos en la matriz, se debe tomar en cuenta las siguientes variables:
− Determinación de: Mega proceso, Proceso, subproceso
− Evento de riesgo: identificación del riesgo que afecta el alcance de los objetivos de la
organización
− Número: número secuencial de factor de riesgo
− Descripción del riesgo: Identificar y describir los eventos negativos que, en caso de ocurrir
tengan un impacto adverso en el desarrollo de las funciones de la entidad y afecten la
consecución de sus objetivos.
− Factor de riesgo: Señalar el factor de riesgo que puede afectar el cumplimiento de los
objetivos. Para el efecto se utilizan los factores de riesgo operativo, definidos por: procesos,
personas, tecnología de información y eventos externos.
− Probabilidad: es la posibilidad de ocurrencia del evento, que puede ser medida con
criterios de frecuencia o factibilidad tal como:

Valor Escala Concepto

1 Improbable No ocurre nunca, pero puede ocurrir en cualquier momento.
2 Probable Ha ocurrido una vez y `puede ocurrir
3 Muy probable Se espera que ocurra una vez y ha ocurrido antes.

− Impacto: son las consecuencias o la magnitud de sus efectos, que se mide con criterios
cualitativos, de acuerdo con los siguientes parámetros:

Valor Escala Concepto

3 Alto Amenaza la supervivencia el proyecto o entidad
2 Medio No amenazan al cumplimiento de los objetivos, pero
requiere cambios significativos
 1 Bajo Puede manejarse mediante actividades rutinarias

− Riesgo inherente: aquel al que se enfrenta una entidad en ausencia de acciones de los
directivos para modificar su probabilidad o impacto.

Valor Escala Color

De 1.00 a 2.99 Bajo
De 3.00 a 5.99 Moderado
De 6.00 a 9.00 Alto

Mapa de Riesgo
Es una herramienta de análisis esencial la cual es el cruce de la probabilidad de frecuencia de
riesgo con el impacto que se puede generar en la empresa, que nos permitirá determinar estrategias
adecuadas, para lo cual se debe identificar los limites inferiores y superiores del nivel de riesgo.
Nivel de Riesgo
Nivel de riesgo Límite Inferior Límite superior Colorimetría
Riesgo bajo 1.00 2.99
Riesgo medio 3.00 5.99
Riesgo alto 6.00 9.00

Mapa de riesgo

Control y Monitoreo
Es el proceso que permite dar seguimiento y revisión del avance de este, por lo que se establece:

Riesgo residual
Es aquel riesgo que subsiste después de haber implementado controles, por lo que se debe advertir
que el nivel de riesgo al que está sometido una compañía nunca se erradica, entonces es importante
buscar un equilibrio entre el nivel de recursos y mecanismos preciso para minimizar estos riesgos
y un nivel de confianza que pueda considerarse suficiente (nivel de riesgo aceptable).
Tipos de control
• Control manual. - se ejecuta por una o más personal del área sin la utilización de
herramientas computacionales.
• Control semiautomático. - se ejecutan por una o más personas y por un sistema de
información, siendo un trabajo conjunto entre ambas partes.
• Control automático. - son los incorporados a través de software, operación,
comunicación, gestión de case de datos, entre otros, los cuales no requieren intervención
humana.
La metodología de valoración será similar a la del riesgo inherente como se muestra a
continuación:
• Probabilidad: se calificará considerando los parámetros establecidos anteriormente.
• Impacto: se calificará considerando los parámetros establecidos anteriormente.
• Riesgo de Control: luego que la entidad ha llevado a cabo una acción para modificar la
probabilidad o impacto de un riesgo. Es el resultado de la multiplicación de la probabilidad
de impacto. La clasificación de alto, moderado o bajo se efectuará según los parámetros
establecidos en el mapa de riesgos.

Ejemplo de una matriz de riesgos

Matriz de Procesos
Megaproceso: Ingresos
Proceso: Gestión de Recaudación y Cobranza

Objetivo Megaproceso Proceso Subproceso

Organizacional
-Administración de precios y
[Link]ón de
descuentos
Ventas
-Gestión de canales de venta
-Captación de la preventa
2. Gestión de ventas -Cobro del hook up (Cuota
de Inscripción)
Ingresos -Prefacturación
3. Facturación -Facturación
-Ajusten Financieros
-Recaudación masiva con
[Link]ón de
débito automático
Recaudos y
-Recaudación por ventanilla
Cobranza
-Gestión del cobro
 Matriz de Riesgo
Megaproceso: Ingresos
Proceso: Gestión de Recaudación y Cobranza

Informe de riesgos a la gerencia

El informe de riesgos es un documento que permite identificar, analizar y evaluar las posibles
amenazas a los que la empresa está expuesta, las cuales pueden influir en el incumplimiento de los
objetivos planteados, también afectando la estabilidad económica y por lo tanto afectando que la
empresa siga realizando las actividades a las que está sujeta.
Este informe le permite a la alta dirección tomar decisiones con respecto a los riesgos que se
identifiquen y decisiones con respecto a procesos que tienen mayor prioridad y otros que no pero
que de igual manera deben mantenerse en constante cuidado. Además, a partir de esto la empresa
puede implementar acciones para prevenir el surgimiento de estos riesgos.

Es necesario que el informe proporcione la información necesaria con respecto al grado de riesgo
y la constancia con la que se da, debido a que la información será utilizada para la toma de
decisiones de la empresa, dicha información debe ser respaldada y debidamente comprobada por
el auditor.

El modelo de un informe de gestión de riesgos contiene los siguientes elementos:

1. Descripción de la empresa.
El encargado de realizar el informe debe conocer la actividad a la que se dedica, el tipo de
organización, la misión, la visión, los valores, el organigrama de la empresa y los aspectos
más relevantes de la organización. Es fundamental presentar toda esta información de la
manera más clara y sencilla posible, para que quienes la lean puedan entenderla sin ningún
problema.
2. Objetivos.
Se establece los objetivos estratégicos a los que estará direccionada la empresa, también se
menciona a las limitaciones que se tiene. En este elemento se menciona las políticas, los
manuales, la normativa legal y los procedimientos que debe realizar la empresa para evitar
sanciones y las posibles afectaciones a la economía de esta; se debe indicar cual es el
apetito al riesgo; es decir la cantidad de riesgo que una organización esa dispuesta a asumir
para alcanzar los objetivos. De igual manera indicar la capacidad o tolerancia de riesgo que
tiene la empresa, la cual se refiere a el nivel considerado aceptable.

3. Identificación de riesgos.
Se consideran así riesgos legales, financieros, operacionales y reputacionales. En la
identificación de riesgos se hace partícipe a toda la organización en la primera línea de
defensa, necesaria para poder implementar el sistema de gestión de riesgos. Se recomienda
usar herramientas como fichas.

4. Evaluación de riesgos.
Luego de identificar los riesgos se procede a realizar la evaluación (cualitativa y
cuantitativa). La evaluación de riesgos se puede realizar a través de las herramientas que
proporciona la ISO 31010.

5. Controles.
Los controles preventivos, detectivos y correctivos que se ponen en marcha en la empresa
para prevenir que los riesgos sucedan o disminuir el impacto que puedan causar. Dichos
controles se deben aplicar de acuerdo con la función de la normativa y el plan de negocios
de la empresa.

6. Riesgo residual.
Después de la aplicación de los controles se obtiene el riesgo residual, luego este pasa por
el auditor interno de la empresa el cual consiste en el análisis de los riesgos y controles. A
partir de esto se obtiene la matriz de riesgos en donde se puede encontrar el riesgo inherente
y el riesgo residual.

7. Toma de decisiones.
La toma de decisiones es ejecutada por la alta dirección y el consejo administrativo. Se
establecen los planes de acción para que con su implementación exista una reducción de la
probabilidad que ocurra o el impacto. En esta fase, se establece cuál es el coste/beneficio
que supone asumir, reducir, eliminar o transferir el riesgo.

8. Planes de acción.
Se debe realizar un análisis FODA (Fortalezas, Oportunidades, Debilidades, Amenazas),
esto se traslada a los planes de acción con lo que se pretende reducir la probabilidad y los
impactos de los riesgos

9. Auditoría externa.
En este punto un auditor ajeno a la empresa realiza un análisis sobre los procesos que
desarrolla la misma, esto con el fin de comprobar la veracidad de los procesos y que
cumplan con los requisitos legales que se establecieron.
 10. Conclusiones y recomendaciones.
Consiste en un resumen final del informe de riesgos y lo que se debería hacer para que la
empresa tenga un beneficio.

Recomendaciones al momento de elaborar un informe de matriz de riesgos

• Presentar la información de una manera resumida y clara.

Hace referencia a que únicamente se debe extraer la información necesaria, enfocándose
en los riesgos que son estratégicos para la organización.
• Mostrar soluciones y cómo los riesgos han evolucionado (de inherente a residual)
Esto ayuda a entender a la alta dirección que la gestión de riesgos sí es importante y las
inversiones y esfuerzos que se hacen para prevenir los riesgos sí tienen efectos positivos.
• Incluir riesgos que pueden ser prioritarios en el mediano y largo plazo y sugerir
acciones para implementar. Sobre todo, si se requiere agregar recursos extras.
• Utilizar elementos visuales y gráficas como pastel y barras que ayuden a entender
mejor los datos presentados.
• Presentar el informe siguiendo una estructura clara y lógica, que permita comprender
fácilmente los datos. Se recomienda realizar una introducción general, desarrollar cada
punto del informe y al finalizar dar la conclusión y las recomendaciones que se debería
poner en marcha antes dichos riesgos.
• Evitar usar términos muy técnicos o exclusivos de los profesionales de gestión de riesgos.
Bibliografía
EALDE. (2021). Cómo elaborar un informe de Gestión de Riesgo. Obtenido de EALDE:
[Link]
LIDERLOGO. (2022). ¿Qué es un informe de riesgo? Obtenido de LIDERLOGO:
riesgo/#:~:text=Un%20informe%20de%20riesgo%20es,que%20est%C3%A1%20expuest
a%20una%20empresa.
Protek Seguridad. (2020). Ventajas y objetivos de una matriz de riesgos. Obtenido de
[Link]
Sulca Córdova, G. C., & Becerra Paguay, E. R. (2017). Control interno. Matriz de riesgo:
Aplicación metodología COSO II. Obtenido de
[Link]