Matriz de Riesgos y su Aplicación en la Evaluación de Control Interno en las empresas ¿Qué es el riesgo? El riesgo se entiende como el o los eventos previstos o imprevistos capaces de afectar el logro de los objetivos de tiempo, costo y alcance y resultados esperados del proyecto. Regularmente se expresa en términos términos de impacto impacto y probabilidad de ocurrencia. Es necesario remarcar que un riesgo puede tener impactos positivos o negativos en el proyecto. Debido a lo anterior, es necesario contar con un registro actualizado de los eventos para poder tomar decisiones que maximicen las probabilidades de éxito en cada una de las fases f ases del proyecto.
Objetivos de una compañía compañía son proteger el valor valor de sus activos Los objetivos de una compañía existentes y crear nuevos activos/valor para el futuro. integrado para los stakeholders en su Valor para la compañía es el valor integrado totalidad (internos y externos).
¿Qué es una Matriz de Riesgo? Una matriz de riesgo es una herramienta de control y de gestión normalmente utilizada para identificar las actividades (procesos y productos) más importantes de una institución, el tipo y nivel de riesgos inherentes a estas actividades y los factores exógenos y endógenos que engendran estos riesgos (factores de riesgo). Por lo tanto, t anto, es un instrumento válido para mejorar el control de riesgos y la seguridad de una organización. Igualmente, una matriz de riesgo permite evaluar la efectividad de una adecuada gestión y administración de los riesgos financieros, operativos y estratégicos que impactan la misión de la organización. La matriz debe ser una herramienta flexible que documente los procesos y evalúe de manera global el riesgo de una institución. Es consistente con los modelos de auditoría basados en riesgos ampliamente difundido en las mejores prácticas internacionales (Coso, Coco Cobit). Una efectiva matriz de riesgo permite hacer comparaciones objetivas entre proyectos, áreas, productos, procesos o actividades. Finalmente, una Matriz de Riesgo adecuadamente diseñada y efectivamente implementada se convierte en soporte conceptual y funcional de un efectivo Sistema Integral de Gestión de Riesgo. Importancia de la matriz de riesgos La matriz es importante porque permite al líder y equipo de proyecto identificar las acciones que se tomarán para mitigar los riesgos críticos del proyecto, determinar los responsables para llevarlas a cabo, especificar un presupuesto y
un cronograma para realizarlas, y controlar los resultados de las acciones con base en los indicadores de resultados. Características de la matriz de riesgo Con el fin de garantizar su eficacia y utilidad, una matriz de riesgo debe tener las siguientes características:
Debe ser flexible.
Sencilla de elaborar y consultar.
Que permita realizar un diagnóstico objetivo de la totalidad de los factores de riesgo. Ser capaz de comparar proyectos, áreas y actividades.
Pasos para la elaboración de una matriz de riesgo 1) Identificación de riesgos El primer paso consiste en la identificación de las actividades principales de una organización y de los riesgos inherentes a estas. De una manera general, se puede entender como riesgos la posibilidad de que a una empresa le sea imposible cumplir con alguno de sus objetivos. Una vez establecidas todas las actividades, ya es posible prever los posibles riesgos y los motivos o factores que intervienen en su manifestación y grado, distinguiéndose en riesgos intrínsecos, que serían aquellos que provienen directamente de la propia empresa, y extrínsecos, factores de incertidumbre provocados por eventos externos o macro económicos que pueden tener un impacto sobre la actividad de nuestra empresa. 2) Evaluar la probabilidad de que se acabe confirmando el riesgo El siguiente paso consistiría en determinar la probabilidad de que, efectivamente, el riesgo ocurra, así como un cálculo de los efectos potenciales del mismo. Se trata, por lo tanto, de una valorización del riesgo, lo cual implica un análisis conjunto e interrelacionado de la probabilidad de ocurrencia y del efecto en los resultados globales de la empresa. Los riesgos se pueden valorar en términos cualitativos o cuantitativos, utilizando normalmente valores numéricos o estadísticos, lo que ayuda a tener una base sólida para que la dirección o responsables de la empresa o negocio puedan tomar las decisiones pertinentes. 3) Representación de la matriz de riesgos
La verdadera utilidad de la matriz de riesgos radica en que ofrezca la posibilidad de tener una idea general de los riesgos de una empresa y la posibilidad de que ocurran con tan solo echarle un vistazo. Por este motivo, la representación de la matriz debe ser en forma de tablas no demasiado complejas donde aparezcan los riesgos, probabilidad de ocurrencia, gravedad de los mismos y, si se desea, acciones para solucionarlos y mitigarlos. Existen aplicaciones informáticas específicas para facilitar su elaboración. En conclusión, una matriz de riesgo constituye una herramienta de control y de gestión muy interesante para identificar actividades empresariales, asociándolas a riesgos diferenciados por tipo y nivel y a los factores exógenos y endógenos relacionados con estos riesgos. Todo ello permite la organización de un Sistema Integral de Gestión de Riesgo. Componentes de la matriz de riesgos La matriz de riesgos se compone generalmente de los siguientes elementos:
ID: Un código o número identificador del riesgo. Riesgo: Descripción detallada del riesgo. Posible resultado: Descripción específica sobre cual sería el efecto del riesgo en el proyecto en caso de este ocurra. Síntoma: Identifica y describe una señal de alarma o advertencia de que el riesgo puede ocurrir. Es importante mencionar que no todos los riesgos tienen síntomas. Probabilidad: Evalúa la probabilidad de que el riesgo suceda. Esta probabilidad puede ser alta, media o baja dependiendo del riesgo. Impacto: Evalúa el grado de impacto en el proyecto en caso de que el riesgo ocurra. Este impacto puede ser alto, medio o bajo dependiendo del riesgo en sí mismo. Prioridad: Prioriza los riesgos en una escala de 1 al 9 con ayuda de la matriz de impacto y probabilidad (figura 2), donde 1 indica el nivel máximo crítico y 9 el nivel mínimo. Respuestas: Especifica la acción que el equipo de proyecto llevará a cabo para eliminar, trasladar o mitigar el riesgo. Responsable: Nombre o rol del responsable de llevar a cabo la acción de respuesta al riesgo.
Figura 1. Matriz de probabilidad e impacto
d a d i l i b a b o r P
A
4
2
1
M
7
5
3
B
9
8
6
B
M
A
Impacto
Acciones de respuesta a riesgos La planificación de las respuestas a los riesgos es el proceso por el cual se desarrollan alternativas y se definen acciones para disminuir el impacto del riesgo sobre el proyecto. Las respuestas al riesgo tienen que ser consistentes con la importancia del riesgo, ser aplicadas en el momento adecuado, ser realistas, ser acordadas por todas las partes implicadas y tener un costo efectivo en relación con el riesgo. Las cuatro respuestas básicas de la gestión de riesgos son las siguientes: Aceptar: Admitir si el impacto del riesgo es mínimo o el costo para mitigarlo es mayor al costo del impacto del riesgo. •
Transferir: Trasladar todo el riesgo a terceros para disminuir el riesgo en el proyecto. •
Mitigar: Disminuir la probabilidad de que se produzca el riesgo al establecer acciones anticipadas para evitar que suceda. •
Evitar: Contrarrestar los riesgos que van surgiendo mediante estrategias. Esto puede implicar cambios en el cronograma o el alcance del proyecto para eliminar la amenaza del riesgo. •
¿Qué es la Matriz de Control Interno? La misma es una forma de pensar, planificar, delegar, adoptar decisiones y resolver problemas, y de ver la organización en su totalidad. Es una forma de pensar, porque analizando la interrelación de los diversos productos, servicios y áreas de la empresa con l as disposiciones normativas externas e internas, como así también con los principios de control interno y seguridad, lleva tanto a los funcionarios, como a los auditores internos (o externos) y a las gerencias de las diversas áreas a preguntarse de que m anera afectan, si es que lo hacen, las diversas normativas a sus procesos y actividades, o bien indagar acerca de la existencia o no de normas que se relacionen con las mismas. Cabría preguntarse cuantas veces las organizaciones son pasibles de sanciones pecuniarias por incumplimiento de deberes formales sólo por el hecho de no haber realizado las indagaciones o bien de no tener planificados los controles y las respectivas acciones.
Es una manera de planificar por cuanto los funcionarios de la organización establecen cantidad de controles a ejecutar por período de tiempo, con que elementos o recursos se van a contar, que cuestionarios se han de utilizar y quienes los elaborarán. Por medio de la delegación se asigna por un lado quienes son los responsables de realizar los controles. Como el sistema matricial hace uso de puntajes de eficacia, los aspectos o áreas de mayores riesgos, los cuales surgen de los puntajes más bajos, son aquellos en los cuales se han de priorizar los ajustes y correcciones, además a través del análisis de las razones de los bajos puntajes se logra saber los motivos que los originan y de tal forma adoptar las mejores acciones tendientes a su resolución
BIBLIOGRAFIA
http://es.scribd.com/doc/13889837/Gestion-de-Riesgosla-Matriz-deRiesgos https://www.gestiopolis.com/matriz-de-control-interno/